App Router에서의 인증은 여러 계층 — 세션, middleware, 서버 측 검사, Server Action 보호 — 에 걸쳐 있습니다. 현대적인 접근은 클라이언트 전용 검사보다 서버 측 세션 검증을 선호합니다.
세션 전략
text
쿠키 기반 세션 (httpOnly 쿠키):
✓ 서명된 세션 id 또는 암호화된 JWT를 httpOnly, secure 쿠키에 저장
✓ httpOnly = JavaScript로 읽을 수 없음 → XSS 토큰 탈취로부터 보호
✓ 라이브러리 사용: Auth.js(NextAuth), Clerk, Lucia, 또는 커스텀 솔루션
1. middleware에서의 대략적인 게이팅 (빠르지만 전부는 아님)
ts
() {
session = req..()?.;
(req...() && !session) {
.( (, req.));
}
.();
}
