이 글의 성격은 무엇인가요?
질문 / 문제 해결
내용을 설명해주세요
안녕하세요.
현재 라이브 버전(v1.2.1)에서 API 인증 없이 크레딧을 차감하지 않고 소설 생성이 가능한 보안 취약점을 확인하여 긴급 수정했습니다.
원인: 기존에는 클라이언트가 크레딧을 차감한 뒤 서버에 생성 요청 → 서버는 인증/크레딧 확인 없이 응답 → API 직접 호출 시 무료 생성 가능
조치:
- 서버 인증 가드 추가 (토큰 검증 필수)
- 크레딧 차감을 서버 권한으로 전환 (클라이언트 신뢰 제거)
- 서버에서 크레딧 잔액 확인 후 차감 (Firestore 트랜잭션)
- 토큰 만료 전 선제적 갱신 (로그인 팝업 없이 조용한 복구)
- 내 이야기 클라우드 저장 (기기 변경 시에도 이야기 유지)
결제 관련 보안 이슈이므로 빠른 검수 부탁드립니다. 감사합니다.
appName (선택)
mirrorplot