tRPC 12 + Server Actions — createCaller가 RSC에서 권한 체크 통과돼서 보안 사고날 뻔

Question

tRPC 12의 createCallerFactory로 RSC에서 procedure를 직접 호출하는 패턴을 도입했습니다. 그런데 일부 procedure가 권한 체크 미들웨어를 건너뛰는 걸 발견했습니다. 보안팀이 발견하기 전에 패치하긴 했는데 어떻게 정착시켜야 할지 모르겠습니다.

// server/trpc.ts
export const createCaller = createCallerFactory(appRouter)

// app/dashboard/page.tsx
import { createCaller } from '@/server/trpc'
export default async function Page() {
  const caller = createCaller({})  // ← ctx 빈 객체!
  const data = await caller.user.profile()  // 권한 체크 통과
  return <Profile data={data} />
}

실수로 createCaller({}) 빈 컨텍스트로 호출하니 procedure 내부의 ctx.user가 undefined인데도 권한 체크 통과. 모든 사용자 데이터에 접근 가능한 상태였습니다.

이런 실수를 빌드 단계에서 막을 방법이 있을까요?

김영삼 · Accepted Answer

아주 흔한 함정이고 보안 사고로 이어집니다. 사용하시던 패턴을 두 단계로 안전하게 잠가야 합니다. 1단계 — ctx를 반드시 검증하는 미들웨어 procedure 자체에서 ctx.user를 항상 검증하는 baseProcedure를 만들고, 모든 procedure는 거기서 파생. // server/trpc.ts import { initTRPC, TRPCError } from '@trpc/server' const t = initTRPC.context<Context>().create() const baseProcedure = t.procedure.use(({ ctx, next }) => { if (!ctx.session?.user?.id) { throw new TRPCError({ code: 'UNAUTHORIZED' }) } return next({ ctx: { ...ctx, user: ctx.session.user } }) }) export const protectedP

보안전문가태호 · Answer

보안 관점에서 한 가지 추가 — protectedProcedure의 미들웨어 안에서 IP rate limit도 같이 걸어두면 사고 방지에 한 겹 더 안전합니다. 누가 실수로 ctx 빈 상태로 caller 만들어도 분당 N회 이상 호출 시 자동 차단.

댓글 0