# instinct: nginxのみに頼った内部API認証はアプリ層でもトークン検証を追加して多層防御にする

## 根本原因
内部エンドポイントをnginxのアクセス制御のみで守っていると、
nginx設定ミスや設定変更時にAPIが無認証で公開される。
破壊的操作エンドポイント（データ削除等）が認証なしで実行可能な状態だった。

## ポイント
- `INTERNAL_API_TOKEN` によるアプリ層での検証を追加する
- `hmac.compare_digest` でタイミング攻撃を防ぐ（`==` 比較は使わない）
- トークン未設定時は `503 Service Unavailable` を返す
- 不正トークン時は `403 Forbidden` を返す
- 破壊的エンドポイント（DELETE・PURGE・EXECUTE系）には必ずこのパターンを適用する

## 関連Issue
- vvv PR#297 / vvv#408