Skip to content

chore: server 보안 하드닝(rate limiting·JWT 서명 알고리즘 축소) #41

Description

@pkdee

정밀 감사(2026-06) 방어 깊이 묶음(현재 악용 가능 구멍 아님, 하드닝).

  • rate limiting 도입: 무인증 OAuth 콜백·state 발급·/auth/me 등에 사용자/IP 제한(ACA 앞단 또는 Bucket4j).
  • JWT 서명 알고리즘 축소: 불필요한 RS256 허용 제거, Supabase ES256 단독(global/security/SecurityConfig.kt).

인증 응답 에러 처리·JWKS 설정 강화 등 민감 항목은 private docs 추적 노트에 별도 기록(직접 패치 예정).

Metadata

Metadata

Assignees

Labels

chore잡무/설정/빌드 보조scope:server서버(Spring Boot)

Type

No type

Fields

No fields configured for issues without a type.

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions