11개 Middleware 체인 기반의 Multi-Tenant SaaS 보안 및 컨텍스트 격리 설계

Context

Multi-Tenant SaaS 환경에서 요청마다 회사 컨텍스트 식별, 세션 유효성, 구독 상태 및 보안 잠금 등 다수의 검증 단계가 중복 발생함. 개별 컨트롤러 수준의 처리로 인한 코드 중복과 일관성 없는 보안 정책 적용의 한계를 해결해야 하는 상황임.

Technical Solution

• 실행 순서가 엄격히 정의된 11단계 Middleware Stack을 통한 요청 파이프라인 단일화
• SetActiveCompanyMiddleware를 최상단에 배치하여 이후 모든 Middleware가 참조할 Company Context 선제적 결정
• DB 기반의 UserSession 상태 관리를 통해 쿠키 조작이 불가능한 PIN Lock 메커니즘 구현
• HTTP 423 상태 코드를 활용하여 API 요청과 웹 요청의 보안 처리 로직을 분리 설계
• BelongsToCompany 및 HasRolesAndPermissions 등 Composable Traits를 통한 모델 단위의 Tenant 격리 및 RBAC 구현
• Laravel 12의 bootstrap/app.php 설정을 통해 Middleware 구성의 가시성을 확보하고 파편화 방지