Skip to content

[안중원] Sprint9 #131

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 47 commits into
base: 안중원
Choose a base branch
from
Open

[안중원] Sprint9 #131

wants to merge 47 commits into from

Conversation

joongwonAn
Copy link

@joongwonAn joongwonAn commented Oct 7, 2025
edited
Loading

필터목록

스크린샷 2025-09-30 오전 10 20 33

프로젝트 마일스톤

  • Sprint Security 환경 설정
  • 세션 기반 인증 / 인가

유의 사항

⚠️ 디스코드잇의 프론트엔드는 서버에서 HTML을 모두 생성하는 **SSR**(Server Side Rendering) 방식이 아니라, 클라이언트(브라우저)에서 Javascript를 활용해 HTML을 생성하는 **CSR**(Client Side Rendering) 방식입니다.

Spring Security는 SSR 환경을 가정한 기본 설정이 많습니다. 따라서 본 미션을 수행할 때 기본 설정을 사용하지 않고 커스터마이징 해야하는 설정이 다소 있는 점을 유의하기 바랍니다.

단, Spring Security의 기본 인증 플로우는 최대한 유지하도록 노력합니다.

Spring Security 환경설정

  • 프로젝트에 Spring Security 의존성을 추가하세요.

  • Security 설정 클래스를 생성하세요.

    • 패키지명: com.sprint.mission.discodeit.config
    • 클래스명: SecurityConfig

  • SecurityFilterChain Bean을 선언하세요.

    • 가장 기본적인 SecurityFilterChain을 등록하고, 이때 등록되는 필터 목록을 디버깅해보세요. 필터 목록은 PR에 첨부하세요.
    @Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http.build();
}

  • 개발 환경에서 Spring Security 모듈의 로깅 레벨을 trace로 설정하세요.

    • 각 요청마다 통과하는 필터 목록을 확인할 수 있습니다.

CSRF 보호 설정하기

디스코드잇은 CSR 방식이기 때문에 CSRF 토큰은 다음과 같이 처리합니다.

  1. 클라이언트에서 페이지가 로드될 때 CSRF 토큰 발급 API를 명시적으로 호출
  2. 서버는 CSRF 토큰을 응답 헤더(Set-Cookie)를 통해 쿠키에 저장
  3. 클라이언트에서 매 요청마다 쿠키에 저장된 CSRF 토큰을 헤더(X-XSRF-TOKEN)에 포함
  4. 서버는 요청 헤더에 포함된 두 토큰 값(X-XSRF-TOKENCookie)을 비교해 유효성 검증

  • CsrfTokenRepository 구현체를 CookieCsrfTokenRepository로 설정하세요.

    • 디폴트 구현체는 HttpSessionCsrfTokenRepository입니다.
    http
    .csrf(csrf -> csrf
      .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
    )
    • 이때 클라이언트에서 쿠키에 저장된 CSRF 토큰에 접근해야 하므로 Http Only는 false로 설정합니다.

  • CsrfTokenRequestHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 XorCsrfTokenRequestAttributeHandler입니다.

    • [Spring 공식문서](https://docs.spring.io/spring-security/reference/servlet/exploits/csrf.html#csrf-integration-javascript-spa)에서 권장하는 CSR+SPA(Single Page Application) 환경에 적합한 구현체를 정의하세요.

      public class SpaCsrfTokenRequestHandler implements CsrfTokenRequestHandler {
    private final CsrfTokenRequestHandler plain = new CsrfTokenRequestAttributeHandler();
    private final CsrfTokenRequestHandler xor = new XorCsrfTokenRequestAttributeHandler();

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, Supplier<CsrfToken> csrfToken) {
        /*
         * Always use XorCsrfTokenRequestAttributeHandler to provide BREACH protection of
         * the CsrfToken when it is rendered in the response body.
         */
        this.xor.handle(request, response, csrfToken);
        /*
         * Render the token value to a cookie by causing the deferred token to be loaded.
         */
        csrfToken.get();
    }

    @Override
    public String resolveCsrfTokenValue(HttpServletRequest request, CsrfToken csrfToken) {
        String headerValue = request.getHeader(csrfToken.getHeaderName());
        /*
         * If the request contains a request header, use CsrfTokenRequestAttributeHandler
         * to resolve the CsrfToken. This applies when a single-page application includes
         * the header value automatically, which was obtained via a cookie containing the
         * raw CsrfToken.
         *
         * In all other cases (e.g. if the request contains a request parameter), use
         * XorCsrfTokenRequestAttributeHandler to resolve the CsrfToken. This applies
         * when a server-side rendered form includes the _csrf request parameter as a
         * hidden input.
         */
        return (StringUtils.hasText(headerValue) ? this.plain : this.xor).resolveCsrfTokenValue(request, csrfToken);
    }
}
      http
    .csrf(csrf -> csrf
    ...
    .csrfTokenRequestHandler(new SpaCsrfTokenRequestHandler())
    )

  • CSRF 토큰을 발급하는 API를 구현하세요.

    • API 스펙
      • 엔드포인트: GET /api/auth/csrf-token
      • 요청: 없음
      • 응답: 203 Void
    @GetMapping("csrf-token")
public ResponseEntity<Void> getCsrfToken(CsrfToken csrfToken) {
  String tokenValue = csrfToken.getToken();
  log.debug("CSRF 토큰 요청: {}", tokenValue);
  ...
}

회원가입

  • 회원가입 API 스펙은 유지합니다.
    • API 스펙
      • 엔드포인트: POST /api/users
      • 요청: Body UserCreateRequest, MultipartFile
      • 응답: 200 UserDto
  • 회원가입 시 비밀번호는 PasswordEncoder를 통해 해시로 저장하세요.
    • PasswordEncoder의 구현체는 BCryptPasswordEncoder를 활용하세요.

인증 - 로그인

  • formLogin 을 기본값으로 활성화하고, 추가된 필터를 확인해보세요.

    http
    .formLogin(Customizer.withDefaults())

  • Spring Security의 formLogin 인증 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

    • 이번 미션에서는 보라색 음영 처리된 5가지 컴포넌트를 대체합니다.
      1. UserDetails
      2. UserDetailsService
      3. PasswordEncoder: 이전에 정의한 BCryptPasswordEncoder로 대체됩니다.
      4. AuthenticationSuccessHandler
      5. AuthenticationFailureHandler
    • 각 컴포넌트의 기본 구현체가 무엇인지 디버깅해보세요.

  • 로그인을 처리할 url을 /api/auth/login로 설정하세요.

    http
    .formLogin(login -> login
        .loginProcessingUrl(...)
    )

  • UserDetailsService 컴포넌트를 대체하세요.

    • 디폴트 구현체는 InMemoryUserDetailsManager입니다.

    • DiscodeitUserDetailsService를 정의하세요.

      @Service
@RequiredArgsConstructor
public class DiscodeitUserDetailsService implements UserDetailsService {
    @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      ...
  }
}
      • 디스코드잇 DB에서 자체 관리하는 사용자 정보로 UserDetails 객체를 생성합니다.
      • 구현체를 Bean으로 등록하면 자동으로 대체됩니다.

  • UserDetails 컴포넌트를 대체하세요.

    • 디폴트 구현체는 org.springframework.security.core.userdetails.User입니다.

    • DiscodeitUserDetails를 정의하세요.

      @Getter
@RequiredArgsConstructor
public class DiscodeitUserDetails implements UserDetails {
  private final UserDto userDto;
  private final String password;
    ...
}
      • 인증 정보(Principal)에 담을 수 있는 정보를 자유롭게 확장할 수 있습니다.
      • UserDto와 비밀번호 정보를 저장하세요.

    • 앞서 정의한 DiscodeitUserDetailsService에서 DiscodeitUserDetails를 생성 후 반환하세요.

  • AuthenticationSuccessHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SavedRequestAwareAuthenticationSuccessHandler입니다.

    • LoginSuccessHandler를 정의하고 대체하세요.

      @Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {
    ...
    @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
      Authentication authentication) throws IOException, ServletException {
      ...
  }
}
      • 인증 성공 시 200 UserDto로 응답합니다.

    • 설정에 추가하세요.

      http
    .formLogin(login -> login
        ...
        .successHandler(loginSuccessHandler)
    )

  • AuthenticiationFailureHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SimpleUrlAuthenticationFailureHandler입니다.

    • LoginFailureHandler를 정의하고 대체하세요.

      @Component
public class LoginFailureHandler implements AuthenticationFailureHandler {
    ...
  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
      AuthenticationException exception) throws IOException, ServletException {
        ...
  }
}
      • 인증 실패 시 401 ErrorResponse로 응답합니다.

    • 설정에 추가하세요.

      http
    .formLogin(login -> login
        ...
        .failureHandler(loginFailureHandler)
    )

  • 이제 로그인 처리는 SecurityFilterChain에서 모두 처리되기 때문에 기존에 구현했던 로그인 관련 코드는 제거하세요.

    • AuthApi.loginAuthController.login
    • AuthService.login
    • LoginRequest

인증 - 세션을 활용한 현재 사용자 정보 조회

⚠️ 이전 버전까지의 디스코드잇 프론트엔드에서는 현재 사용자 정보를 브라우저의 세션 스토리지(user-storage)에서 관리해왔습니다. 브라우저의 세션 스토리지는 Javascript로 접근이 가능하기 때문에, XSS(Cross-Site Scripting) 공격에 취약합니다. 따라서 프론트엔드 `2.0.x` 부터는 사용자 정보를 브라우저의 메모리에서 관리하도록 변경되었습니다. 하지만, 메모리에 저장된 정보는 브라우저 새로고침 시 모두 삭제됩니다. 따라서 새로고침 시 쿠키에 저장된 세션 ID를 통해 현재 사용자 정보를 조회합니다.
  • 세션ID를 통해 사용자의 기본 정보(UserDto)를 가져올 수 있도록 API를 정의하세요.
    • API 스펙
      • 엔드포인트: GET /api/auth/me
      • 요청: Header(자동 포함) Cookie: JSESSIONID=…
      • 응답: 200 UserDto
    • SecurityFilterChain의 필터를 통해 인증에 성공하면 Controller에서 @AuthenticationPrincipal를 통해 인증 정보에 접근할 수 있습니다.

인증 - 로그아웃

  • Spring Security의 logout 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

  • 이번 미션에서는 2가지 요소를 대체합니다.

    • Logout 처리 URL
    • LogoutSuccessHandler

  • 로그아웃을 처리할 url을 /api/auth/logout로 설정하세요.

    http
    .logout(logout -> logout
        .logoutUrl(...)
    )

  • LogoutSuccessHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SimpleUrlLogoutSuccessHandler입니다.

    • HttpStatusReturningLogoutSuccessHandler로 대체하세요.

      http
    .logout(logout -> logout
        ...
        .logoutSuccessHandler(...)
    )
      • 204 Void 응답을 반환하세요.

인가 - 권한 정의

  • 다음과 같이 권한을 정의하세요.

    • 관리자: ADMIN
    • 채널 매니저: CHANNEL_MANAGER
    • 일반 사용자: USER

  • 데이터베이스 스키마를 변경하세요.

    CREATE TABLE users
(
    ...
    role varchar(20) NOT NULL
);

ALTER TABLE users
    ADD role varchar(20) NOT NULL;

  • 회원 가입 시 모든 사용자는 USER 권한을 기본 권한으로 설정하세요.

  • 사용자 권한을 수정하는 API를 구현하세요.

    • API 스펙
      • 엔드포인트: PUT /api/auth/role
      • 요청: Body UserRoleUpdateRequest
      • 응답: 200 UserDto

  • 애플리케이션 실행 시 ADMIN 권한을 가진 어드민 계정이 초기화되도록 구현하세요.

    • 어드민 계정이 없는 경우에만 초기화하세요.

  • DiscodietUserDetails.getAuthorities를 수정하세요.

인가 - 권한 적용

  • authorizeHttpRequests를 활성화하고, 모든 요청을 인증하도록 설정하세요.

    http
    .authorizeHttpRequests(auth -> auth
      .anyRequest().authenticated()
  )

  • 다음의 요청은 인증하지 않도록 설정하세요.

    http
    .authorizeHttpRequests(auth -> auth
      ...
      .requestMatchers(...).permitAll()
  )
    • Csrf Token 발급
    • 회원가입
    • 로그인
    • 로그아웃
    • API가 아닌 요청(Swagger, Actuator 등)

  • Method Security를 활성화하세요.

    ...
@EnableMethodSecurity
public class SecurityConfig {...}

  • Service의 메소드 별로 아래의 조건에 맞게 권한을 수정하세요.

    • 퍼블릭 채널 생성, 수정, 삭제는 CHANNEL_MANAGER 권한을 가져야합니다.
    • 사용자 권한 수정은 ADMIN 권한을 가져야합니다.

  • 적절한 권한이 없는 경우 403 응답을 반환하세요.

    • SecurityFilterChain

      http
    .exceptionHandling(ex -> ex
      .authenticationEntryPoint(...)
      .accessDeniedHandler(...)
  )

    • GlobalExceptionHandler

      @ExceptionHandler(MethodArgumentNotValidException.class)
public ResponseEntity<ErrorResponse> handleValidationExceptions(MethodArgumentNotValidException ex) {...}

  • RoleHierarchy를 활용해 권한의 계층 구조를 정의하세요.

    • 관리자 > 채널 매니저 > 일반 사용자
      • 관리자 권한은 채널 매니저, 일반 사용자 권한을 포함합니다.
      • 채널 매니저 권한은 일반 사용자 권한을 포함합니다.
    @Bean
public RoleHierarchy roleHierarchy() {...}

@Bean
static MethodSecurityExpressionHandler methodSecurityExpressionHandler(
    RoleHierarchy roleHierarchy) {
  DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
  handler.setRoleHierarchy(roleHierarchy);
  return handler;
}

세션 관리 고도화

  • 동일한 계정으로 동시 로그인할 수 없도록 설정하세요.

    • sessionConcurrency 설정을 활용하세요.

      http
    .sessionManagement(management -> management
        .sessionConcurrency(concurrency -> concurrency
            ...
        )
    )

    • 세션의 동일성을 보장하기 위해 DiscodeitUserDetailsequals(), hashcode() 메소드를 오버라이딩하세요.

      공식 문서

      If you are using a custom implementation of UserDetails, ensure you override the equals() and hashCode() methods. The default SessionRegistry implementation in Spring Security relies on an in-memory Map that uses these methods to correctly identify and manage user sessions. Failing to override them may lead to issues where session tracking and user comparison behave unexpectedly.

  • 권한이 변경된 사용자가 로그인 상태라면 세션을 무효화하세요.

    • sessionRegistry를 활용하세요.
    @Bean
public SecurityFilterChain filterChain(
      ...
    HttpSecurity http,
    SessionRegistry sessionRegistry
    ) {
    http
        .sessionManagement(management -> management
            .sessionConcurrency(concurrency -> concurrency
                ...
                .sessionRegistry(sessionRegistry)
            )
        )
    ...
}

@Bean
public SessionRegistry sessionRegistry() {...}
    • httpSessionEventPublisher: HttpSession이 만료된 경우 이벤트를 통해 SessionRegistry의 SessionInformation도 자동으로 만료하기 위해 필요한 Bean입니다.
    @Service
public class BasicAuthService implements AuthService {
  ...
  private final SessionRegistry sessionRegistry;
  ...
}

  • UserStatus 엔티티 대신 SessionRegistry를 활용해 사용자의 로그인 여부를 판단하도록 리팩토링하세요.

    • UserStatus 엔티티와 관련된 코드는 모두 삭제하세요.
    • (로그아웃처럼) HttpSession 만료 시 SessionRegistry의 SessionInformation도 자동으로 만료 처리할 수 있도록 HttpSessionEventPublisher를 Bean으로 등록합니다.
    @Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
  return new HttpSessionEventPublisher();
}

로그인 고도화 - RememberMe

권한 적용 고도화

  • SpEL을 활용해 Method Security 기반 리소스 보호 정책을 강화해보세요.
    • 사용자 정보 수정, 삭제는 본인만 할 수 있습니다.
    • 메시지 수정, 삭제는 해당 메시지를 작성한 사람만 할 수 있습니다.

@joongwonAn
Initial Commit
7ae5ee2
@joongwonAn
deploy.yml 주석 처리
94e2bd4
@joongwonAn
Initial Commit
d9393cf
@joongwonAn
feat: 기본 SecurityFilterChanin을 등록하고 필터 목록 디버깅
ab982f5 
Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextHolderFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  ExceptionTranslationFilter
]
@joongwonAn
chore: spring security 모듈의 로깅 레벨을 trace로 설정
1886177
@joongwonAn
feat: csrf 토큰 저장소를 쿠키로 지정
d7ccc5b 
- CsrfTokenRepository 구현체를 CookieCsrfTokenRepository로 설정
- 디폴트 구현체는 HttpSessionCsrfTokenRepository
- (CSR) 클라이언트에서 쿠키에 저장된 CSRF 토큰에 접근해야 하므로 Http Only는 false로 설정
@joongwonAn
feat: SecurityFilterChain에 csrfTokenRequestHandler 추가
6030269 
* csrfTokenRequestHandler
- Spring Security에서 CSRF(크로스 사이트 요청 위조) 공격을 방지하기 위해 사용되는 인터페이스(CSRF 토큰을 읽고 검증할 때 사용)
- 기본적으로 CsrfTokenRequestAttributeHandler 구현체 사용
@joongwonAn
feat: CSR+SPA(Single Page Application) 환경에 적합한 구현체 정의
6895df4 
- SPA 환경에서는 헤더 기반 CSRF 토큰 검증을 지원하고, 동시에 기존 방식(파라미터)도 fallback으로 지원
@joongwonAn
feat: CSRF 토큰 발급 API 구현
58ff0f3 
- API 스펙
    - 엔드포인트: GET /api/auth/csrf-token
    - 요청: 없음
    - 응답: 203 Void
@joongwonAn
feat: BCryptPasswordEncoder 기반 PasswordEncoder Bean 정의
e2288b2
@joongwonAn
feat: passwordEncoder를 사용하여 비밀번호 암호화
1ebf2a9
@joongwonAn
feat: formLogin을 기본값으로 활성화
ebf49e5 
- 필터 목록
Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextHolderFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  UsernamePasswordAuthenticationFilter // 추가
  DefaultResourcesFilter // 추가
  DefaultLoginPageGeneratingFilter // 추가
  DefaultLogoutPageGeneratingFilter // 추가
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  ExceptionTranslationFilter
]
@joongwonAn
feat: UserDetailsService 컴포넌트를 대체할 DiscodeitUserDetailsService
818bce0
@joongwonAn
feat: UserDetails 컴포넌트를 대체할 DiscodeitUserDetails
d5a1746
@joongwonAn
feat: AuthenticationSuccessHandler 컴포넌트를 대체 할LoginSuccessHandler
5815d2d
@joongwonAn
feat: AuthenticiationFailureHandler 컴포넌트를 대체 할 LoginFailureHandler
9b8cb38
@joongwonAn
chore: SecurityFilterChain에서 로그인 처리를 하므로 기존의 로그인 코드 삭제
e0437c8
@joongwonAn
feat: formLogin(loginProcessingUrl, successHandler, failureHandler)
28f3a78 
POST /api/auth/login
  ↓
UsernamePasswordAuthenticationFilter
  ↓
AuthenticationManager (ProviderManager)
  ↓
DiscodeitUserDetailsService.loadUserByUsername()
  ↓
DiscodeitUserDetails 생성 + 비밀번호 검증
  ↓
Authentication 성공 → SecurityContextHolder 저장
  ↓
LoginSuccessHandler.onAuthenticationSuccess() 호출
@joongwonAn
feat: 세션을 활용해 현재 사용자 정보 조회 (/api/auth/me)
31991ef
@joongwonAn
feat: 필터체인에 로그아웃 추가
b4b17e9
@joongwonAn
feat: LogoutSuccessHandler 컴포넌트를 대체 할 HttpStatusReturningLogoutSucces…
295d860 
…sHandler 구현
@joongwonAn
feat: 권한 정의(ADMIN / CHANNEL_MANAGER / USER)
50499fa
@joongwonAn
feat: User 엔티티에 role 추가 후 코드 수정
4969401
@joongwonAn
fix: User.role 컬럼에 @Enumerated(EnumType.STRING) 추가하여 DB 매핑 오류 해결
0af7a69
@joongwonAn
chore: 세션 타임아웃 및 쿠키 보안 설정 추가
5a1e535
@joongwonAn
chore: secure 설정 제외(https 배포 어려움)
4613208
@joongwonAn
feat: 사용자 role 수정 API
7bfa5e7
@joongwonAn
feat: 애플리케이션 실행 시 ADMIN 계정을 확인하고 없으면 초기화
71726a3
@joongwonAn
feat: user 테이블에 role 추가
3775330
@joongwonAn
feat: UserDetails에 authorities 추가
5ab3b42
joongwonAn and others added 17 commits October 2, 2025 10:32
@joongwonAn
feat: authorizeHttpRequests 추가 및 Method Security 활성화
9c8c863 
* 인증 X
- Csrf Token 발급
- 회원가입
- 로그인
- 로그아웃
- API가 아닌 요청(Swagger, Actuator 등)
@joongwonAn
fix: admin 계정으로 로그인 안되는 문제 해결
2b36b2e 
- admin 계정을 초기화할 떼 userstatus가 없어서 오류 발생
@joongwonAn
feat: 메서드별로 권한 부여
ed60f13 
- 퍼블릭 채널 생성, 수정, 삭제는 `CHANNEL_MANAGER` 권한을 가져야합니다.
- 사용자 권한 수정은 `ADMIN` 권한을 가져야합니다.
@joongwonAn
feat: 인가 - 권한 적용
fd6e4a6 
다음의 요청은 인증 X
- Csrf Token 발급
- 회원가입
- 로그인
- 로그아웃
- API가 아닌 요청(Swagger, Actuator 등)
@joongwonAn
feat: 적절한 권한이 없으면 403 반환
d8e790c
@joongwonAn
feat: 인증 필요하면 401 반환
1a50e45
@joongwonAn
feat: 필터체인에 exceptionHandling 구현
8c0d530
@joongwonAn
feat: 권한 계층 구조 정의
dbd8eb0 
- 관리자 > 채널 매니저 > 일반 사용자
    - 관리자 권한은 채널 매니저, 일반 사용자 권한을 포함합니다.
    - 채널 매니저 권한은 일반 사용자 권한을 포함합니다.
@joongwonAn
chore: auth/handler 패키지 생성
84159d7
@joongwonAn
feat: 다중 로그인 방지 기능
1d790ce
@joongwonAn
feat: 권한이 바뀌면 세션 만료시킴
a4e029f
@joongwonAn
feat: SessionRegistry 구현 및 HttpSessionEventPublisher 구현
69a6219
@joongwonAn
fix: id로 비교하도록 수정
b9093b7
@joongwonAn
refactor: UserStatus 엔티티 대신 SessionRegistry를 활용해 사용자의 로그인 여부를 판단하도록 리팩토링
dae3a40
@joongwonAn
feat: remember-me사용으로 로그인 고도화
1751445
@joongwonAn
feat: SpEL을 활용해 Method Security 기반 리소스 보호 정책 강화
8fe9831 
- 사용자 정보 수정, 삭제는 본인만 할 수 있습니다.
- 메시지 수정, 삭제는 해당 메시지를 작성한 사람만 할 수 있습니다.
@joongwonAn
Merge branch 'codeit-bootcamp-spring:main' into sprint9
02a2e31
@joongwonAn joongwonAn changed the title Sprint9 [안중원] Sprint9 Oct 13, 2025
@joongwonAn joongwonAn changed the base branch from main to 안중원 October 13, 2025 02:02
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@joongwonAn