배경
보안 리뷰(LOW) 후속. 현재 application.yml 의 jwk-set-uri: ${SUPABASE_JWKS_URI:} 는 미설정 시 빈 문자열로 기동된다. 인증은 fail-closed(모든 요청 401)라 보안 구멍은 아니지만, 원인이 모호한 런타임 401 로 나타나 운영/개발 진단이 어렵다.
할 일
- prod 에서
SUPABASE_JWKS_URI 미설정이면 컨텍스트 기동 단계에서 명확히 실패하도록 가드 추가(예: prod 프로파일에서 필수 검증, 또는 빈 값 감지 시 기동 중단).
- local 은 기존처럼 옵셔널 유지(개발 편의).
참고
배경
보안 리뷰(LOW) 후속. 현재
application.yml의jwk-set-uri: ${SUPABASE_JWKS_URI:}는 미설정 시 빈 문자열로 기동된다. 인증은 fail-closed(모든 요청 401)라 보안 구멍은 아니지만, 원인이 모호한 런타임 401 로 나타나 운영/개발 진단이 어렵다.할 일
SUPABASE_JWKS_URI미설정이면 컨텍스트 기동 단계에서 명확히 실패하도록 가드 추가(예: prod 프로파일에서 필수 검증, 또는 빈 값 감지 시 기동 중단).참고