포스트

Saas 서비스의 기본은 "CORS는 Gateway에만"

게시
By SouthGlory
1 분읽는 시간

SaaS 서비스의 기본은 “CORS는 Gateway에만”입니다.

1
2
3
4
5
6
7
8

[브라우저 사용자]
      ↓
[  api.myservice.com  ]  ← ✅ CORS 허용된 유일한 API 엔드포인트 (Gateway 역할)
      ↓
 ┌────────────┬────────────┬────────────┐
│   Auth API  │  Payment   │  Noti/SNS  │ ← 내부 API들 (CORS ❌, 인증 헤더만으로 통신)
└────────────┴────────────┴────────────┘
  • CORS는 브라우저 전용 보안 정책 (서버 간 통신에는 적용되지 않음)
  • 내부 서버마다 다 열어두면 공격면이 넓어짐
  • 인증 토큰 검증
  • 속도 제한
  • 로그 수집, 모니터링, 트래픽 통계 등
서비스구조 요약브라우저에서 접근CORS 처리
StripeDashboard + API오직 api.stripe.com해당 도메인에만 CORS 허용
SupabaseGateway가 있음*.supabase.co API 호출Gateway에서만 CORS
Auth0https://your-tenant.auth0.com여기에만 CORS 허용내부 서비스는 서버 간만 통신
개발, 백엔드
API 백엔드 서버
이 기사는 저작권자의 CC BY 4.0 라이센스를 따릅니다.