Toss Edge Hardening

verify_jwt=true Edge Function의 인증/권한 취약점을 점검하고, 패치 후 재배포와 런타임 차단 검증까지 끝내는 스킬.

언제 사용하나

• Edge Function 권한 우회(헤더 위조, role spoofing) 가능성 점검 시
• auth/role 로직 수정 후 재배포 + 실호출 검증이 필요할 때
• send-smart-message, grant-toss-points, verify-iap-order, generate-report 보안 점검 시

핵심 원칙

• 호출자 제어 헤더(x-user-role)를 권한 근거로 사용하지 않는다.
• 권한은 JWT claim(또는 서버 검증 결과)로만 결정한다.
• 패치 후에는 반드시 재배포 + 우회 재시도 + Edge 로그 3종 증적을 남긴다.

함수별 최소 권한 정책(기본값)

• verify-iap-order: user | trainer | org_owner | org_staff | service_role 허용, 그 외 403
• generate-report: trainer | org_owner | org_staff | service_role 허용, 그 외 403
• send-smart-message: trainer | org_owner | org_staff | service_role 허용, 그 외 403
• grant-toss-points: trainer | org_owner | org_staff | service_role 허용, 그 외 403