leo.dev
$ ls tags/ / multitenant

#multitenant

1 posts

backend
parent-only soft-delete의 접근제어 구멍
부모(회사)만 soft-delete하고 자식(직원) 테이블을 보존했더니, 삭제된 회사의 ID를 아는 사용자가 권한 검사를 그대로 통과했다. 접근제어가 자식을 직접 조회했기 때문이다.
2026.06.04 4 min read backend · soft-delete · access-control · multitenant · typeorm
↑↓ 이동 열기esc 닫기