경험 중심 1인칭 답변
API 보안 설계에서 먼저 고려하는 건 인증·인가·입력 검증·전송 보안 네 가지입니다. 인증은 JWT나 OAuth2로 클라이언트를 확인하고, 인가는 역할 기반 접근 제어(RBAC)로 리소스 접근 범위를 제한합니다. 입력 검증은 SQL 인젝션·XSS를 막기 위해 입력값을 서버 측에서 화이트리스트 기준으로 검증하는 방식을 씁니다. 전송 보안은 HTTPS 강제와 HSTS 헤더 설정으로 처리합니다. 프로젝트에서는 Rate Limiting을 추가해서 동일 IP에서 단시간에 과도한 요청이 들어올 때 차단하는 로직을 구현했습니다.
보안은 하나의 계층으로 끝나지 않고, 여러 계층이 서로 보완하는 방식으로 설계해야 한다는 걸 배웠습니다. 각 계층이 뚫려도 다음 계층이 막는 '심층 방어' 원칙을 따릅니다.