if문 없는 B2B SaaS 멀티테넌시 데이터 격리 전략

Context

개발자가 모든 쿼리에 테넌트 ID 조건을 수동으로 추가하는 방식의 위험성. 단 한 번의 누락으로 다른 테넌트 데이터가 노출되는 심각한 보안 취약점 발생 가능성. 애플리케이션 로직에 의존하는 격리 방식의 구조적 한계.

Technical Solution

• Hono Middleware를 통한 테넌트 컨텍스트 강제 추출 및 요청 생명주기 주입 방식
• Better Auth를 활용한 세션 검증 및 유효한 activeOrganizationId 기반의 신뢰할 수 있는 컨텍스트 구축
• 클라이언트 페이로드가 아닌 미들웨어에서 설정한 orgId를 DB 쿼리에 직접 사용하는 데이터 접근 구조
• 세션 만료 시 401 Unauthorized, 테넌트 불일치 시 403 Forbidden을 반환하는 사전 차단 전략
• PostgreSQL Row-Level Security(RLS)를 통해 세션 변수 단위로 데이터 접근을 물리적으로 제한하는 최후방 방어 설계
• Vite, Hono, Drizzle ORM을 조합하여 테넌트 경계가 기본 적용된 모노레포 아키텍처 구현

Key Takeaway

보안 격리는 개별 개발자의 주의력이 아닌 시스템 인프라와 미들웨어 계층에서 강제되는 구조여야 함. 애플리케이션 계층의 제어 로직을 최소화하고 데이터베이스 레벨의 제약 조건을 활용하는 Zero Trust 설계 원칙의 중요성.