영역 ③ 애플리케이션 보안 · REST
REST API 3대 축 — HTTPS + OAuth + JWT
| 보안 축 | 역할 | 표준 |
|---|
| HTTPS (TLS) | 통신 구간 암호화 (필수 전제) | RFC 8446 |
| OAuth 2.0 | 인증·권한 위임 | RFC 6749 |
| JWT | 토큰 자체에 서명·정보 담기 (Stateless) | RFC 7519 |
[클라이언트] [인증 서버] [리소스 서버(API)]
① 로그인 ──────────►
② ◄── 액세스 토큰(JWT) 발급
③ API 호출 + Authorization 헤더에 토큰 ──────────►
④ 토큰 서명 검증 + 권한 확인 → 응답(HTTPS)
결정적 함정 · 시험 한 줄
HTTPS 없으면 토큰이 평문 노출 → 가로채면 그 권한으로 호출. 3중 보호 = HTTPS+OAuth+JWT. 'JWT는 암호화 토큰'→❌(서명·인코딩) · 'OAuth 1.0이 표준'→❌(2.0).