8efcacb6bb
- OAuth 제공자 이메일 검증 미확인 차단(email_verified/is_email_verified 미검증 시 거부) - OAuth state CSRF 방지: 세션 없는 CookieStateStore(httpOnly 1회용 state 쿠키) 두 전략에 주입 - refresh 토큰 폐기: User.tokenVersion + refresh payload ver 검증, 로그아웃 시 일괄 무효화 - 파일 업로드 MIME 화이트리스트(html/svg 차단) + 다운로드 attachment·nosniff(저장형 XSS 차단) - 인증 라우트 throttle(login 10·signup 5·resend 3 /분) - 첨부 삭제 업로더/admin 한정 - 인증 토큰 로그 운영 환경 게이트(원문 토큰 미기록) - docs/security-review.md(감사 보고서) 추가 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>