보안 정책 - KimGyuBek/Threadly GitHub Wiki

Threadly 서비스는 다음의 보안 정책을 따른다.

1. 회원 가입 절차
   • 회원 가입 후 이메일 인증이 완료되어야 로그인 가능
2. 토큰 발급 및 재발급
   • 로그인 성공 시 AccessToken, RefreshToken 발급
   • AccessToken 만료 시 RefreshToken으로 재발급 가능
   • RefreshToken 만료 시에는 재로그인 필요
3. 토근 블랙리스트 등록
   • 로그아웃, 탈퇴, 비활성화 시 블랙리스트에 등록, 폐기
4. 인증 경로 접근 규칙
   • 모든 인증이 필요한 API 요청은 반드시 AccessToken이 필요
   • 프로필 초기 설정을 완료해야 인증
   • 요청 시 Redis 블랙리스트를 조회하여 폐기된 토큰 제한
   • 토큰 서명, 만료, 클레임 검증
   • 토큰 검증이 성공하더라도 UserStatusType이 제한상태이면 접근 차단
5. 2FA 인증
   • /api/me/account/**경로는 비밀번호 재입력을 통한 2FA 인증을 거침
   • 성공시 X-Verify-Token 발급, 이후 요청시 필요
6. WebSocket 보안
   • WebSocket 연결 시 AccessToken을 쿼리 파라미터로 전달
   • HandShake 전 단계에서 토큰 검증

---

• 인증 인가 흐름
• 예외 처리