개념 - SID 세션 계약¶
정의¶
SID 세션 계약은 브라우저나 WebView가 JWT를 직접 보유하지 않고, sid라는 최소 세션 식별자만 HttpOnly 쿠키로 유지한 채 실제 인증 상태와 토큰은 BFF 및 Redis 세션 계층에 남겨두는 계약입니다.
왜 중요한가¶
이 개념은 chemical 도메인의 보안 모델을 구체화합니다. 핵심은 "세션이 있다"가 아니라 "클라이언트가 무엇을 직접 들고 있지 않은가"입니다. sid만 남기면 브라우저 노출면이 줄고, 토큰 갱신과 권한 주입 책임을 서버 측에 집중시킬 수 있습니다.
이 저장소 맥락에서의 역할¶
SID 세션 계약은 BFF 인증을 더 세밀한 단위로 설명합니다. BFF 인증이 아키텍처 선택이라면, SID 세션 계약은 그 선택이 브라우저 표면에서 어떤 보안 경계를 만들었는지 설명하는 실행 규칙입니다. 이는 브라우저 세션 경로와 관리형 클라이언트 경로를 비교할 때도 기준점이 됩니다.
관련 소스¶
관련 개념과 엔티티¶
- 개념 - 보안 경계
- 개념 - 인증 및 권한 모델
- 개념 - BFF 인증
- 개념 - 테넌트 격리
- 엔티티 - Chemical BFF Service
- 비교 - BFF 인증 vs 클라이언트 직접 JWT
- 비교 - 브라우저 세션 경로 vs 관리형 클라이언트 경로
열린 질문¶
sid만료, 재발급, 강제 로그아웃 정책을 어떤 수준까지 중앙화해야 다중 테넌트 환경에서 운영성과 보안을 동시에 유지할 수 있을까?