| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- javascript
- REST API
- electron
- 인증
- 소셜로그인
- 도메인설계
- 프론트엔드
- 백엔드
- playwright
- 메일자동화
- 배포
- Android
- 온디바이스AI
- 상태관리
- github actions
- contextBridge
- JWT
- 크롤링
- 마이그레이션
- python
- typescript
- php
- React
- FastAPI
- sqlite
- Vite
- next.js
- Kotlin
- 아키텍처
- 보안
- Today
- Total
목록2026/06/14 (2)
HM소프트
챌린지-응답 인증으로 정적 토큰을 대체한 거래 API 보안 게이트웨이 서버 구현기. HMAC-SHA256 이진 경로 챌린지, 시간 윈도 검증과 상수시간 비교, 금액·기기위험 기반 동적 깊이, AES-GCM 난독화, BLOCK/TARPIT/HONEYPOT 기만 엔진, 세션 바인딩, 3계층 저장소와 서킷 브레이커까지 TypeScript로 다룹니다.토큰 하나로 끝나는 구조를 끝내고 싶었다금전이 오가는 거래 API에서 가장 위험한 가정은 "이 토큰을 들고 온 사람은 본인이다"라는 믿음이다. 정적인 API 키나 세션 토큰은 한 번 유출되면 만료 시각까지 자유이용권이 된다. 로그가 남아도 이미 빠져나간 뒤이고, 토큰을 폐기해도 다음 토큰이 또 새어 나갈 수 있는 채널 자체는 그대로다. 거래 도메인에서 일하면서 늘 ..
운영 중인 레거시 PHP 사이트를 형상관리에 올리며 PDO 싱글톤과 EMULATE_PREPARES false로 SQL 인젝션을 구조적으로 차단하고, 평면 organization_units 테이블을 sort_order 기준 트리로 세운다. mb_str_split과 HTML 이스케이프 순서가 뒤바뀌어 팀명이 깨지던 버그, page_contents 재사용으로 스키마 변경 없이 푸터를 관리자 편집화한 과정을 다룬다.운영 중인 PHP 사이트를 형상관리에 올리다앞서 다른 시리즈에서 한 연구기관 웹사이트를 모던 스택으로 다시 만든 과정을 기록했는데, 같은 기관에는 PHP로 만들어진 버전의 사이트가 따로 하나 더 있다. 운영 서버에서 실제로 돌아가고 있는 코드라, 첫 작업은 기능 추가가 아니라 운영 중인 코드를 통째로..