AI 요약
'Private Landing'은 Cloudflare Workers를 위해 처음부터 구현된 참조용 인증 시스템으로, NIST SP 800-63B 및 OWASP ASVS와 같은 엄격한 보안 표준을 준수합니다. PBKDF2 비밀번호 해싱, JWT 이중 토큰 세션, 슬라이딩 만료 등 현대적인 인증 기법이 Hono와 Turso, TypeScript를 통해 구현되었습니다. 이 프로젝트는 단순한 라이브러리 사용을 넘어 보안 속성이 실제로 어떻게 코드로 구현되고 테스트되는지 교육하는 데 목적이 있습니다. 실제 서비스에는 Better Auth 같은 검증된 라이브러리를 권장하지만, 인증의 내부 구조를 깊이 있게 학습하고자 하는 개발자에게 최적의 자원입니다.
핵심 인사이트
- 표준 준수 기반 설계: NIST(800-63B, 800-132), OWASP ASVS, RFC 8725 등 국제적인 보안 권고안을 충실히 따라 구현되었습니다.
- 교육 중심의 접근: 단순 설명이 아닌 250개 이상의 테스트 케이스를 통해 토큰 변조, 알고리즘 혼동 등 실제 공격 벡터에 대한 방어 로직을 직접 확인할 수 있습니다.
- 에지 컴퓨팅 최적화: Node.js 의존성 없이 Web Crypto API를 사용하여 Cloudflare Workers의 에지 환경에서 가볍고 빠르게 작동합니다.
주요 디테일
- 안전한 비밀번호 저장: PBKDF2-SHA384 해싱, 128비트 솔트, 무결성 다이제스트 및 버전 추적 기능을 포함합니다.
- 세션 및 토큰 관리: 15분 액세스 토큰과 7일 리프레시 토큰 구조를 가지며, 서버 측 세션 추적 및 취소 기능을 지원합니다.
- 강력한 보안 설정: HttpOnly, Secure, SameSite=Strict 쿠키 설정과 HSTS, CSP 등 필수 보안 헤더가 자동으로 적용됩니다.
- 입력 유효성 검사: Zod 스키마를 사용하여 NIST 표준에 부합하는 비밀번호 정책과 데이터 형식을 강제합니다.
출처:hackernews