JWT 토큰 안전 발급
01HS256 · 32바이트 이상 시크릿
로그인 토큰은 HMAC-SHA256 으로 서명하고, 시크릿이 32바이트보다 짧으면 서버가 부팅하지 않도록 검증합니다. brute-force 로 토큰을 위조할 수 없게 설계.
안전한 서비스POP-SPOT 의 7가지
POP-SPOT 의 7가지
안전장치
서비스 출시 전 백엔드에 실제 적용한 보안·정책 안전장치입니다. 사용자의 정보와 권리를 보호하기 위해 모든 항목을 운영 환경에 반영했습니다.
비밀번호 강력 해싱
02BCrypt strength 12
비밀번호는 BCrypt 12 라운드로 해싱해 저장합니다. 기본값 (10) 대비 해싱 비용이 4배 — 데이터 유출이 발생해도 평문 비밀번호로 복원하기 매우 어렵습니다.
허용된 도메인만 접근
03CORS 패턴 화이트리스트
공식 도메인 (popspot.co.kr 및 Vercel preview) 외에는 API 호출이 차단됩니다. 위변조 사이트가 사용자 정보를 가로채는 시도를 원천 차단.
무차별 시도 차단
04로그인 5회/분 · 이메일 5회/시간
Bucket4j 토큰 버킷으로 로그인 5회/분, 이메일 인증코드 발송 5회/시간 으로 제한합니다. 자동화 봇의 brute-force 공격을 즉시 차단.
PIPA 준수 처리방침
05만 14세 이상 · 별도 동의 분리
개인정보 처리방침을 PIPA(개인정보보호법) 기준으로 작성하고, 가입 시 약관 / 개인정보 동의를 분리해 받습니다. 만 14세 미만은 가입할 수 없습니다.
24시간 신고 응답
06Takedown · 즉시 노출 차단
저작권 · 정보 오류 신고는 접수 즉시 노출이 차단되고, 24시간 안에 운영자 검토를 진행합니다. 악의적 takedown 방어를 위해 영구 삭제는 검토 후 별도 처리.
전 구간 HTTPS
07Tailscale Funnel · 자동 인증서 갱신
Tailscale Funnel 로 백엔드 진입 구간까지 HTTPS 가 자동 인증서로 발급/갱신됩니다. 사용자 ↔ 서버 사이 트래픽은 항상 암호화.