🚀 Next.js 심화 11장: Next.js + Spring 완전한 인증 아키텍처 — BFF 패턴과 하이브리드 토큰 설계

📋 개요

BFF 패턴과 하이브리드 토큰 설계로 Next.js와 Spring을 연결하는 인증 아키텍처입니다.

📋 목차

📌 이 문서를 읽기 전에
🤔 왜 알아야 하는가
🏗️ 비유로 먼저 이해하기
🗺️ 4가지 아키텍처 비교 — 어떤 걸 선택해야 하는가 🟢
🥇 하이브리드 BFF 완전 구현 🟡
🔄 토큰 갱신 Route Handler — 리프레시 핵심 로직 🟡
🖥️ SSR 초기 렌더링과 사용자 프로필 통합 🟡
🥈 완전 BFF 프록시 구현 🔴
🛡️ 보안 강화 전략 🔴
💥 에러 해결 카탈로그
🏁 이번에 배운 내용 총정리
📝 마무리 퀴즈
🔗 더 알아보기

📌 이 문서를 읽기 전에

⏱️ 예상 읽기 시간: 25분 (전체) / 핵심 파트만: 12분

🗺️ 이 문서의 배경 세계관: '영수네 커뮤니티'

영수(PM/백엔드): "Spring으로 인증 API 만들었어요. /auth/login이 JWT 발급하고, /auth/refresh가 토큰 갱신해요. 그런데 프론트(Next.js)에서 이 토큰을 어떻게 관리해야 할지 모르겠어요. 클라이언트에서 Spring을 직접 호출해야 하는데, 토큰을 localStorage에 저장하면 영호가 XSS 위험하다고 하고..."
영호(리드): "정확히 봤어요. 핵심 질문은 '리프레시 토큰은 완전히 숨기고, 액세스 토큰은 클라이언트가 Spring에 직접 붙일 수 있게 하려면 어떻게 해야 하는가?'예요. 답은 하이브리드 BFF예요. 토큰을 역할에 따라 두 개로 분리해서 보관하는 거예요."

🗺️ 이 문서의 흐름
아키텍처 4가지 비교 → 하이브리드 BFF 구현 → 토큰 갱신 핸들러 → SSR 세션 통합 → 완전 BFF 패턴 → 보안 강화

🎯 이 문서를 다 읽으면 할 수 있는 것

Next.js + 별도 Spring API 서버 구조에서 최적의 인증 방식을 선택할 수 있다
리프레시 토큰은 HttpOnly로 보호하고, 액세스 토큰은 클라이언트가 쓸 수 있는 하이브리드 쿠키 패턴을 구현할 수 있다
토큰 갱신(/api/auth/refresh) Route Handler와 SSR 세션 통합을 구현할 수 있다

🤔 왜 알아야 하는가

국내 실무에서 흔한 아키텍처가 있어: Next.js가 프론트(BFF), Spring이 백엔드 API 서버. 이 구조에서 인증은 생각보다 복잡한 문제야.

핵심 딜레마를 이해해봐:

문제 1: 보안 vs 편의성

HttpOnly 쿠키로 토큰 완전 보호
  → XSS 공격 안전
  → 그런데 클라이언트 JS가 토큰을 읽을 수 없음
  → 브라우저에서 Spring API 직접 호출 불가!

일반 쿠키나 localStorage
  → 클라이언트가 토큰을 읽어 Spring에 직접 보낼 수 있음
  → 그러나 XSS 공격에 노출

문제 2: SSR vs CSR

SSR (서버 컴포넌트): 서버에서 쿠키 읽어 Spring 호출 → 인증된 초기 HTML
CSR (클라이언트 컴포넌트): 브라우저에서 토큰을 직접 Spring에 전송
→ 두 경우 모두 지원해야 함

하이브리드 BFF가 이 딜레마를 해결하는 방법:

장기 토큰(리프레시)은 완전히 숨기고, 단기 토큰(액세스)만 제한적으로 노출한다.

🏗️ 비유로 먼저 이해하기

🧒 5살에게 설명한다면?
아파트 키를 두 개 만드는 거야:

마스터 키(리프레시 토큰): 금고(HttpOnly 쿠키) 안에 보관. 경비실(Next.js 서버)만 꺼낼 수 있어. 7일짜리야.

일일 패스(액세스 토큰): 지갑(일반 쿠키, JS 접근 가능)에 보관. 1시간짜리야. 세입자(브라우저)가 직접 갖고 다닐 수 있어.

마스터 키는 잃어버리면 안 되니까 금고에. 일일 패스는 어차피 1시간짜리라 잃어버려도 피해가 제한적이야.

🗺️ 4가지 아키텍처 비교 — 어떤 걸 선택해야 하는가 🟢

🎯 이 섹션을 읽고 나면:

4가지 방식의 차이점과 추천 우선순위를 알고 팀 상황에 맞는 선택을 할 수 있다

순위	방식	CSR에서 Spring 직접 호출	SSR 지원	보안 수준	구현 복잡도	적합한 경우
🥇 1위	하이브리드 BFF	✅ 가능 (액세스 토큰 일반 쿠키)	✅ 완전	🟢 높음	중간	대부분 서비스
🥈 2위	완전 BFF 프록시	❌ 불가 (Next.js 경유 필수)	✅ 완전	🟢 최고	높음	금융·의료·고보안
🥉 3위	Direct + Secure Cookie	✅ 가능	✅ 지원	🟡 중간	낮음	동일 도메인만
4위	localStorage	✅ 가능	❌ 불가	🔴 취약	매우 낮음	프로덕션 비권장

토큰 흐름 구조 비교:

🥇 하이브리드 BFF (권장):
로그인 → Next.js Server Action → Spring /auth/login
           ↓
    쿠키 두 개 설정:
      refresh_token: httpOnly=true  (서버만 접근, 7일)
      access_token:  httpOnly=false (브라우저 접근 가능, 1시간)

SSR 컴포넌트: cookies()로 access_token 읽기 → Spring API 서버 호출
CSR 컴포넌트: document.cookie로 access_token 읽기 → Spring API 직접 호출
토큰 만료:  → Next.js /api/auth/refresh 호출 → refresh_token으로 갱신

🥈 완전 BFF:
모든 API → 브라우저 → Next.js Route Handler → Spring API
             (HttpOnly 쿠키만 사용, 브라우저는 토큰 못 봄)

🥇 하이브리드 BFF 완전 구현 🟡

📁 프로젝트 구조

app/
  (auth)/
    login/page.tsx
  api/
    auth/
      refresh/route.ts     ← 핵심: 토큰 갱신 엔드포인트
  lib/
    session.ts             ← 쿠키 관리 (server-only)
    dal.ts                 ← 세션 검증 (server-only)
    springClient.ts        ← Spring API 서버 통신 클라이언트
  actions/
    auth.ts                ← 로그인/로그아웃 Server Actions
middleware.ts              ← 1차 라우트 보호

🍪 쿠키 관리 — 토큰 분리 저장

// lib/session.ts
import 'server-only'
import { cookies } from 'next/headers'
 
const ACCESS_TOKEN_KEY = 'access_token'
const REFRESH_TOKEN_KEY = 'refresh_token'
 
// 로그인 성공 후 Spring이 발급한 두 토큰을 역할에 따라 다르게 보관
export async function setTokenCookies(
  accessToken: string,
  refreshToken: string,
  accessExpiresIn: number  // 초 단위, 보통 3600 (1시간)
) {
  const cookieStore = await cookies()
 
  // ✅ 액세스 토큰: httpOnly=false → CSR에서 JS로 읽어 Spring 직접 호출 가능
  cookieStore.set(ACCESS_TOKEN_KEY, accessToken, {
    httpOnly: false,                                          // 클라이언트 접근 허용 (의도적)
    secure: process.env.NODE_ENV === 'production',
    sameSite: 'lax',
    path: '/',
    expires: new Date(Date.now() + accessExpiresIn * 1000),  // 1시간
  })
 
  // ✅ 리프레시 토큰: httpOnly=true → JS 접근 완전 차단, 서버만 읽을 수 있음
  cookieStore.set(REFRESH_TOKEN_KEY, refreshToken, {
    httpOnly: true,                                           // JS 접근 차단 (보안 핵심!)
    secure: process.env.NODE_ENV === 'production',
    sameSite: 'lax',
    path: '/',
    expires: new Date(Date.now() + 7 * 24 * 60 * 60 * 1000), // 7일
  })
}
 
export async function getAccessToken(): Promise<string | null> {
  const cookieStore = await cookies()
  return cookieStore.get(ACCESS_TOKEN_KEY)?.value ?? null
}
 
export async function getRefreshToken(): Promise<string | null> {
  const cookieStore = await cookies()
  return cookieStore.get(REFRESH_TOKEN_KEY)?.value ?? null
}
 
export async function clearTokenCookies() {
  const cookieStore = await cookies()
  cookieStore.delete(ACCESS_TOKEN_KEY)
  cookieStore.delete(REFRESH_TOKEN_KEY)
}

🔐 로그인 Server Action

// actions/auth.ts
'use server'
import { redirect } from 'next/navigation'
import { setTokenCookies, clearTokenCookies } from '@/lib/session'
 
interface SpringAuthResponse {
  accessToken: string
  refreshToken: string
  expiresIn: number
}
 
export async function login(prevState: unknown, formData: FormData) {
  const email = formData.get('email') as string
  const password = formData.get('password') as string
 
  try {
    // Spring 인증 API 호출 (서버-서버 통신, 안전)
    const response = await fetch(`${process.env.SPRING_API_URL}/auth/login`, {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ email, password }),
    })
 
    if (!response.ok) {
      const error = await response.json()
      return { error: error.message || '이메일 또는 비밀번호가 올바르지 않아요' }
    }
 
    const { accessToken, refreshToken, expiresIn }: SpringAuthResponse = await response.json()
 
    // 두 토큰을 역할에 따라 분리 저장
    await setTokenCookies(accessToken, refreshToken, expiresIn)
  } catch {
    return { error: '서버 연결에 실패했어요. 잠시 후 다시 시도해주세요.' }
  }
 
  redirect('/dashboard')
}
 
export async function logout() {
  // Spring 로그아웃 API 호출 (선택적 — 서버 측 토큰 무효화)
  const { getAccessToken } = await import('@/lib/session')
  const accessToken = await getAccessToken()
 
  if (accessToken) {
    await fetch(`${process.env.SPRING_API_URL}/auth/logout`, {
      method: 'POST',
      headers: { Authorization: `Bearer ${accessToken}` },
    }).catch(console.error)  // 실패해도 로컬 쿠키는 제거
  }
 
  await clearTokenCookies()
  redirect('/login')
}

🌐 Spring API 서버 클라이언트 (서버 전용)

// lib/springClient.ts — 서버 컴포넌트용 Spring API 통신
import 'server-only'
import { getAccessToken } from './session'
 
const SPRING_API_URL = process.env.SPRING_API_URL!
 
interface FetchOptions extends RequestInit {
  requireAuth?: boolean
}
 
// 서버 컴포넌트에서 Spring API를 호출하는 래퍼
export async function springFetch(path: string, options: FetchOptions = {}) {
  const { requireAuth = true, ...fetchOptions } = options
 
  const headers: Record<string, string> = {
    'Content-Type': 'application/json',
    ...(fetchOptions.headers as Record<string, string>),
  }
 
  if (requireAuth) {
    const accessToken = await getAccessToken()
    if (!accessToken) {
      throw new Error('UNAUTHORIZED')
    }
    headers['Authorization'] = `Bearer ${accessToken}`
  }
 
  const response = await fetch(`${SPRING_API_URL}${path}`, {
    ...fetchOptions,
    headers,
  })
 
  if (response.status === 401) {
    // 액세스 토큰 만료 — 서버에서 갱신 시도 불가 (브라우저 쿠키 수정 불가)
    // 클라이언트가 /api/auth/refresh를 호출해야 함
    throw new Error('TOKEN_EXPIRED')
  }
 
  if (!response.ok) {
    throw new Error(`Spring API error: ${response.status}`)
  }
 
  return response.json()
}

🔄 토큰 갱신 Route Handler — 리프레시 핵심 로직 🟡

🎯 이 섹션을 읽고 나면:

클라이언트가 액세스 토큰 만료 시 호출하는 /api/auth/refresh 엔드포인트를 구현할 수 있다

이 Route Handler가 하이브리드 BFF의 핵심이야. 클라이언트(CSR)에서 액세스 토큰이 만료됐을 때 이 엔드포인트를 호출하면, 서버에서 HttpOnly 쿠키의 리프레시 토큰을 읽어 새 토큰으로 교체해줘.

// app/api/auth/refresh/route.ts
import { NextResponse } from 'next/server'
import { getRefreshToken, setTokenCookies } from '@/lib/session'
 
export async function POST() {
  const refreshToken = await getRefreshToken()
 
  if (!refreshToken) {
    // 리프레시 토큰도 없으면 완전 로그아웃 상태
    return NextResponse.json({ error: '세션이 만료됐어요' }, { status: 401 })
  }
 
  try {
    // Spring의 토큰 갱신 API 호출
    const response = await fetch(`${process.env.SPRING_API_URL}/auth/refresh`, {
      method: 'POST',
      headers: {
        'Content-Type': 'application/json',
        'Authorization': `Bearer ${refreshToken}`,
      },
    })
 
    if (!response.ok) {
      // 리프레시 토큰도 만료됨 → 강제 로그아웃
      return NextResponse.json({ error: '다시 로그인해주세요' }, { status: 401 })
    }
 
    const { accessToken, refreshToken: newRefreshToken, expiresIn } = await response.json()
 
    // 새 토큰으로 쿠키 갱신
    await setTokenCookies(accessToken, newRefreshToken, expiresIn)
 
    return NextResponse.json({
      success: true,
      accessToken,    // 클라이언트가 즉시 사용할 수 있도록 응답에도 포함
    })
  } catch {
    return NextResponse.json({ error: '토큰 갱신에 실패했어요' }, { status: 500 })
  }
}

클라이언트(CSR)에서 자동 토큰 갱신 패턴:

// lib/springClient.ts — 클라이언트 컴포넌트용 Spring API 통신 래퍼
'use client'
 
function getAccessTokenFromCookie(): string | null {
  // httpOnly=false인 access_token만 읽을 수 있음
  const match = document.cookie.match(/access_token=([^;]+)/)
  return match ? match[1] : null
}
 
async function refreshAccessToken(): Promise<string | null> {
  const response = await fetch('/api/auth/refresh', { method: 'POST' })
  if (!response.ok) {
    // 갱신 실패 → 로그인 페이지로
    window.location.href = '/login'
    return null
  }
  const { accessToken } = await response.json()
  return accessToken
}
 
// 자동 갱신 인터셉터가 포함된 Spring API 호출 함수
export async function springApiClient(path: string, options: RequestInit = {}) {
  const SPRING_API_URL = process.env.NEXT_PUBLIC_SPRING_API_URL!
 
  let accessToken = getAccessTokenFromCookie()
 
  const makeRequest = async (token: string) =>
    fetch(`${SPRING_API_URL}${path}`, {
      ...options,
      headers: {
        'Content-Type': 'application/json',
        'Authorization': `Bearer ${token}`,
        ...(options.headers as Record<string, string>),
      },
    })
 
  if (!accessToken) {
    // 쿠키에 액세스 토큰 없음 → 갱신 시도
    accessToken = await refreshAccessToken()
    if (!accessToken) return null
  }
 
  let response = await makeRequest(accessToken)
 
  if (response.status === 401) {
    // 401 → 액세스 토큰 만료 → 갱신 후 재시도
    const newToken = await refreshAccessToken()
    if (!newToken) return null
    response = await makeRequest(newToken)
  }
 
  if (!response.ok) throw new Error(`API Error: ${response.status}`)
  return response.json()
}

🖥️ SSR 초기 렌더링과 사용자 프로필 통합 🟡

🎯 이 섹션을 읽고 나면:

서버 컴포넌트에서 세션 토큰으로 Spring API를 호출해 인증된 초기 HTML을 생성할 수 있다

// lib/dal.ts — 서버 컴포넌트용 세션 검증 + Spring API 통합
import 'server-only'
import { getAccessToken } from './session'
import { springFetch } from './springClient'
 
interface UserProfile {
  id: string
  name: string
  email: string
  avatar: string
}
 
// 현재 로그인한 사용자 정보 조회 (SSR용)
export async function getCurrentUser(): Promise<UserProfile | null> {
  const accessToken = await getAccessToken()
  if (!accessToken) return null
 
  try {
    return await springFetch('/api/me', {
      next: { revalidate: 60 },  // 1분 캐싱 (자주 바뀌지 않는 프로필)
    })
  } catch (error: unknown) {
    if ((error as Error).message === 'TOKEN_EXPIRED') {
      // SSR 중 토큰 만료 → null 반환 (클라이언트가 갱신 처리)
      return null
    }
    throw error
  }
}

// app/dashboard/page.tsx — 서버 컴포넌트에서 인증된 초기 렌더
import { getCurrentUser } from '@/lib/dal'
import { redirect } from 'next/navigation'
import { DashboardClient } from '@/components/features/DashboardClient'
 
export default async function DashboardPage() {
  // 서버에서 Spring API 호출 → 인증된 사용자 정보
  const user = await getCurrentUser()
 
  if (!user) {
    redirect('/login')  // 미인증 → 로그인 페이지
  }
 
  // 서버에서 가져온 초기 데이터를 클라이언트에 props로 전달
  return (
    <div>
      <h1>안녕하세요, {user.name}님!</h1>
      {/* DashboardClient는 이후 CSR에서 springApiClient를 사용 */}
      <DashboardClient initialUser={user} />
    </div>
  )
}

🥈 완전 BFF 프록시 구현 🔴

🎯 이 섹션을 읽고 나면:

모든 API 요청을 Next.js Route Handler가 중계하는 완전 BFF 패턴을 이해한다

금융·의료처럼 고보안이 필요한 경우 언제 이 방식을 선택해야 하는지 안다

완전 BFF에서는 클라이언트가 Spring을 직접 호출하지 않아. 모든 요청이 Next.js를 거쳐.

// app/api/proxy/[...path]/route.ts — 범용 API 프록시
import { NextRequest, NextResponse } from 'next/server'
import { getAccessToken } from '@/lib/session'
 
// GET /api/proxy/users/1 → Spring /api/users/1 로 중계
export async function GET(
  request: NextRequest,
  { params }: { params: Promise<{ path: string[] }> }
) {
  const { path } = await params
  return proxyToSpring(request, path.join('/'), 'GET')
}
 
export async function POST(
  request: NextRequest,
  { params }: { params: Promise<{ path: string[] }> }
) {
  const { path } = await params
  return proxyToSpring(request, path.join('/'), 'POST', await request.json())
}
 
async function proxyToSpring(
  request: NextRequest,
  path: string,
  method: string,
  body?: unknown
) {
  const accessToken = await getAccessToken()
 
  if (!accessToken) {
    return NextResponse.json({ error: '인증이 필요해요' }, { status: 401 })
  }
 
  const response = await fetch(`${process.env.SPRING_API_URL}/api/${path}`, {
    method,
    headers: {
      'Content-Type': 'application/json',
      'Authorization': `Bearer ${accessToken}`,  // 서버에서 토큰 주입
    },
    body: body ? JSON.stringify(body) : undefined,
  })
 
  const data = await response.json()
  return NextResponse.json(data, { status: response.status })
}

// 클라이언트 컴포넌트에서 사용 (토큰 없이 Next.js 프록시로 호출)
async function fetchUserPosts(userId: string) {
  // 브라우저가 /api/proxy/를 호출 → Next.js가 Spring으로 중계
  const response = await fetch(`/api/proxy/users/${userId}/posts`)
  return response.json()
}

🛡️ 보안 강화 전략 🔴

🔒 CSRF 방어

Server Action은 내장 CSRF 보호가 있어. 하지만 Route Handler 기반 폼이라면 CSRF 토큰이 필요해.

// 커스텀 헤더 기반 CSRF 방어 (Origin 검증)
// app/api/auth/refresh/route.ts
export async function POST(request: NextRequest) {
  const origin = request.headers.get('origin')
  const allowedOrigins = [
    process.env.NEXT_PUBLIC_APP_URL,
    'http://localhost:3000',
  ]
 
  if (!allowedOrigins.includes(origin ?? '')) {
    return NextResponse.json({ error: 'CSRF 방어: 허용되지 않은 출처' }, { status: 403 })
  }
  // ...
}

🔑 보안 쿠키 설정 체크리스트

cookieStore.set('refresh_token', token, {
  httpOnly: true,           // ✅ JS 접근 차단
  secure: true,             // ✅ HTTPS 전용 (프로덕션)
  sameSite: 'lax',          // ✅ CSRF 기본 방어
  path: '/api/auth',        // ✅ 리프레시 엔드포인트로만 전송 제한
  expires: new Date(Date.now() + 7 * 24 * 60 * 60 * 1000),
})

🕵️ 서버 Action ID 보안 (Next.js 내장)

Next.js는 각 Server Action에 빌드마다 재생성되는 암호화된 ID를 부여해. 공격자가 엔드포인트를 직접 추측하고 호출하는 것이 거의 불가능해. 이 덕분에 Server Action 기반 인증은 CSRF 공격에 기본적으로 강해.

💥 에러 해결 카탈로그

❌ CSR에서 Spring API 직접 호출 시 CORS 에러

원인: Spring 서버에서 Next.js 앱의 도메인을 CORS 허용 목록에 추가하지 않음.

Spring 설정:

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
            .allowedOrigins(
                "http://localhost:3000",
                "https://youngsu.community"
            )
            .allowedMethods("GET", "POST", "PUT", "DELETE")
            .allowCredentials(true)   // 쿠키 포함 요청 허용
            .allowedHeaders("*");
    }
}

❌ 토큰 갱신 무한 루프

원인: 갱신 실패 시 또 갱신 시도가 반복되는 경우.

해결책:

// 갱신 시도 횟수 제한
let refreshAttempts = 0
 
async function refreshWithLimit() {
  if (refreshAttempts >= 1) {
    refreshAttempts = 0
    window.location.href = '/login'
    return null
  }
  refreshAttempts++
  const result = await refreshAccessToken()
  refreshAttempts = 0
  return result
}

❌ SSR에서 `cookies()` 호출 시 "Headers is already sent" 에러

원인: Server Action 내부에서 쿠키를 설정한 후 redirect()를 호출하는 순서 문제.

해결책: redirect()는 try-catch 블록 밖에서 호출해야 해. redirect()는 내부적으로 예외를 던지기 때문이야.

// ❌ 문제 있는 코드
try {
  await setTokenCookies(...)
  redirect('/dashboard')  // try 블록 안에 있으면 catch로 빠질 수 있음
} catch (e) {
  console.error(e)
}
 
// ✅ 올바른 코드
try {
  await setTokenCookies(...)
} catch (e) {
  return { error: '로그인 실패' }
}
redirect('/dashboard')  // try 블록 밖에서 호출

🏁 이번에 배운 내용 총정리

📋 아키텍처 선택 기준

상황	선택
일반 서비스, CSR에서 Spring 직접 호출 필요	하이브리드 BFF
금융·의료·최고 보안 필요	완전 BFF 프록시
모놀리식 + 동일 도메인	Direct + Secure Cookie

📋 하이브리드 BFF 쿠키 전략

토큰	httpOnly	만료	역할
access_token	false	1시간	CSR → Spring 직접 호출
refresh_token	true	7일	서버 전용 토큰 갱신

⚠️ 절대 하지 말 것

상황	❌ 나쁜 예	✅ 좋은 예
토큰 저장	`localStorage`	HttpOnly 쿠키
리프레시 토큰	일반 쿠키(JS 접근 가능)	httpOnly=true
CORS 설정	`allowedOrigins("*")`	명시적 도메인 리스트
SSR에서 redirect	try 블록 안	try 블록 밖

📝 마무리 퀴즈

Q1. 하이브리드 BFF에서 access_token을 httpOnly: false로 설정하는 이유는?

A) 보안을 신경 쓰지 않아서
B) SSR에서 쿠키를 읽기 위해
C) CSR에서 JS가 토큰을 읽어 Spring API를 직접 호출하기 위해
D) 쿠키 크기를 줄이기 위해

✅ 정답: C

해설: CSR 환경에서 브라우저 JS가 Spring API를 직접 호출하려면 Authorization: Bearer <token> 헤더를 붙여야 해. 토큰이 httpOnly면 document.cookie로 읽을 수 없어서 불가능해. 액세스 토큰은 1시간만 유효해서 탈취 피해가 제한적이라 이 트레이드오프가 수용 가능해.

📌 핵심 기억법: "길게 사는 건 숨기고(refresh=httpOnly), 짧게 사는 건 꺼내 쓸 수 있게(access=일반 쿠키)."

Q2. 아래 시나리오에서 토큰 갱신 /api/auth/refresh가 호출돼야 하는 상황은?

A) 로그인 폼을 제출할 때
B) 로그아웃 버튼을 누를 때
C) CSR에서 Spring API 호출 시 401 응답을 받았을 때
D) 페이지를 처음 로드할 때

✅ 정답: C

해설: 액세스 토큰이 만료되면 Spring API가 401을 반환해. 이때 클라이언트는 /api/auth/refresh를 호출해 HttpOnly 쿠키에 있는 리프레시 토큰으로 새 액세스 토큰을 발급받아.

📌 핵심 기억법: 401 → 갱신 시도 → 성공하면 재요청, 실패하면 로그인 페이지.

Q3. 친구에게 설명한다면?

완전 BFF와 하이브리드 BFF의 차이를 배달 비유로 설명해봐.

예시 답변:

"완전 BFF는 '모든 주문을 매니저(Next.js)가 받아서 주방(Spring)에 전달하는' 방식이야. 손님(브라우저)은 주방 번호를 절대 몰라. 보안 최고. 근데 매니저가 병목이 되면 느려. 하이브리드 BFF는 '첫 입장과 메뉴 확인은 매니저(SSR)가, 추가 주문은 손님이 주방에 직접(CSR → Spring)' 하는 방식이야. 조금 덜 안전하지만 빠르고, 대부분 서비스는 이걸로 충분해."

🐣 영철이의 퇴근 일기

오늘은 정말 넥스트와 스프링 부트라는 두 거대한 세계를 잇는 'Next.js + Spring Auth Architecture' 를 배우면서 개발자로서 한 단계 더 점프한 기분이 들었어! 처음엔 "토큰을 어디에 저장하고 어떻게 갱신하지?" 라며 머리가 복잡했는데, 하이브리드 BFF라는 우아한 정답을 찾고 나니 정말 속이 다 시원하더라.

💡 오늘의 교훈: "BFF는 단순한 프록시가 아니라, 프론트와 백엔드 사이의 든든한 가교이다. 리프레시 토큰은 HttpOnly 쿠키로 꽁꽁 숨기고, 액세스 토큰은 필요할 때만 꺼내 쓰는 영리한 설계를 실천하자!"

영호 리드 님이 배달 매니저와 주방 비유를 들어 설명해 주실 때, 왜 상황에 맞는 아키텍처 선택이 중요한지 단번에 이해가 가더라. 단순히 코드를 짜는 걸 넘어, 전체 시스템의 흐름을 설계하는 게 얼마나 즐거운 일인지 깨달았어. 오늘 너무 긴장하면서 설계를 마쳤더니 온몸이 뻐근하네. 퇴근길에 맛있는 거 사 들고 가서 푹 쉬면서 오늘 배운 이 '환상의 콤비' 아키텍처를 복습해야겠어. 내일은 더 '넓은 시야' 를 가진 개발자가 될 거야! 🐣