개념 - BFF 인증

정의

BFF 인증은 브라우저나 데스크톱 클라이언트가 백엔드 서비스에 직접 JWT를 들고 붙지 않고, 중간의 BFF(Backend-for-Frontend) 서비스와 세션 쿠키를 통해 인증 상태를 유지하는 방식입니다. chemical/spec.md에서는 브라우저에는 sid HttpOnly 쿠키만 남기고, JWT는 Redis 세션에만 보관한 뒤 BFF가 서버 간 호출에 Bearer 토큰을 주입하는 구조로 설명됩니다.

왜 중요한가

이 방식은 토큰을 브라우저에서 숨기고, 갱신 로직을 프론트엔드에서 떼어내며, Next.js를 UI 전용 계층으로 단순화합니다. 화학 규제 SaaS처럼 기업 데이터와 규제 판단 결과가 얽힌 B2B 제품에서는, 인증 토폴로지 자체가 보안 모델의 일부가 됩니다.

관련 소스

• 소스 - Chemical Spec

관련 개념

• 개념 - 보안 경계
• 개념 - 인증 및 권한 모델
• 개념 - SID 세션 계약
• 개념 - 테넌트 격리
• 엔티티 - Chemical BFF Service
• 비교 - BFF 인증 vs 클라이언트 직접 JWT

열린 질문

• Silent Refresh와 세션 저장을 BFF에 집중시킬 때, 장애 전파를 줄이기 위한 세션 만료·재시도 전략은 어디까지 BFF가 책임져야 하는가?