반응형 세션인증1 Next.js를 BFF로: 토큰을 브라우저에서 지우는 stateless JWE 세션 NullVest Engineering 프론트엔드 아키텍처 · 1/2Next.js를 BFF로: 토큰을 브라우저에서 지우는 stateless JWE 세션2026-05-10 · ADR-0034 대상 코드 apps/web/src/lib/server · app/apiTL;DRaccess token을 JS 메모리에 들고 있던 SPA 구조를 버리고, Next.js를 BFF(Backend-for-Frontend)로 세웠다.토큰은 AES-256-GCM으로 암호화된 httpOnly 쿠키(JWE)에 봉인 — 자바스크립트로는 절대 못 읽는다. XSS 토큰 탈취 표면 0.Redis 세션 스토어는 도입하지 않았다. 브라우저 요청을 받은 BFF가 매번 쿠키를 복호화해 Authorization: Bearer + X-Org-Id 같은.. 2026. 5. 30. 이전 1 다음 반응형