정밀 감사(2026-06) 방어 깊이 묶음(현재 악용 가능 구멍 아님, 하드닝).
- rate limiting 도입: 무인증 OAuth 콜백·state 발급·
/auth/me 등에 사용자/IP 제한(ACA 앞단 또는 Bucket4j).
- JWT 서명 알고리즘 축소: 불필요한 RS256 허용 제거, Supabase ES256 단독(
global/security/SecurityConfig.kt).
인증 응답 에러 처리·JWKS 설정 강화 등 민감 항목은 private docs 추적 노트에 별도 기록(직접 패치 예정).
정밀 감사(2026-06) 방어 깊이 묶음(현재 악용 가능 구멍 아님, 하드닝).
/auth/me등에 사용자/IP 제한(ACA 앞단 또는 Bucket4j).global/security/SecurityConfig.kt).