imprun engineering

작성일: 2025년 12월 22일카테고리: Web, HTTP, Security키워드: HTTP Cookie, Session, Security, SameSite, HttpOnly, Secure요약HTTP는 본질적으로 무상태(Stateless) 프로토콜이다. Cookie는 이 무상태 프로토콜에서 상태를 유지하기 위해 1994년 Netscape에서 도입한 메커니즘이다. 이 글에서는 Cookie의 내부 동작 원리부터 보안 속성, 실무에서 마주치는 문제들과 해결 방안까지 깊이 있게 다룬다.Cookie의 탄생 배경HTTP의 무상태 특성HTTP 프로토콜은 각 요청이 독립적이다. 서버는 이전 요청에 대한 정보를 기억하지 않는다.GET /page1 HTTP/1.1Host: example.com(서버는 이 요청을 처리하고..

작성일: 2025년 12월 18일카테고리: Authentication, Security, Backend키워드: Ory Kratos, Self-Service Flow, Session, Cookie, CSRF, Login요약Ory Kratos의 Self-Service Login Flow는 CSRF 방어, 세션 관리, SPA 지원을 위해 설계된 상태 기반 인증 플로우다. Flow 생성, 로그인 제출, 세션 확인의 3단계로 구성되며, 각 단계에서 보안 검증이 이루어진다. 이 글에서는 로그인 버튼을 누르면 발생하는 모든 요청과 응답을 추적하고, 세션 쿠키의 보안 속성과 에러 처리 방법을 다룬다.개요로그인 버튼을 눌렀을 때 뒤에서 무슨 일이 일어나는지 살펴보자.놀이공원 입장권 발급에 비유하면:번호표 받기: 창구에서..

작성일: 2025년 12월 18일카테고리: Authentication, Authorization, Security키워드: Ory, Kratos, Hydra, Oathkeeper, Keto, OAuth2, OIDC, Identity요약Ory는 4개의 독립적인 오픈소스 컴포넌트(Kratos, Hydra, Oathkeeper, Keto)로 구성된 인증/인가 시스템이다. 각 컴포넌트는 단일 책임 원칙을 따르며, 필요한 것만 선택적으로 사용할 수 있다. Kratos는 사용자 인증, Hydra는 OAuth2 토큰 발급, Oathkeeper는 API 인증 프록시, Keto는 권한 관리를 담당한다. 이 글에서는 각 컴포넌트의 역할과 동작 방식, 그리고 실전 적용 방법을 다룬다.왜 Ory인가?인증/인가 시스템을 구축할 ..

Ory Oathkeeper를 활용한 Zero Trust IAP 구현 가이드작성일: 2025년 12월 6일카테고리: Authentication, Authorization, API Gateway, Security키워드: Ory Oathkeeper, Zero Trust, IAP, Identity Aware Proxy, Envoy, ext_authz요약Ory Oathkeeper는 Zero Trust Identity & Access Proxy로, 모든 요청에 대해 인증/인가를 수행하는 게이트키퍼 역할을 한다. Envoy Gateway와 연동하여 ext_authz 패턴으로 동작하며, Kratos 세션과 Hydra OAuth2 토큰을 모두 검증할 수 있다. 이 글에서는 ImpRun 프로젝트에서 Oathkeeper를 ..