Skip to content

feat: jwt 토큰 검증 추가 #33

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Merged
1117mg merged 6 commits into from
Jul 25, 2025
Merged

feat: jwt 토큰 검증 추가 #33

1117mg merged 6 commits into from
Jul 25, 2025

Conversation

@1117mg
Copy link
Member

@1117mg 1117mg commented Jul 25, 2025
edited
Loading

📌 PR 제목

📋 작업 내용

  • JWT 인증필터 추가

✅ 체크리스트

  • 테스트를 완료했나요?
  • 코드 컨벤션을 지켰나요?
  • 관련 문서를 업데이트 했나요?

🚨 주의사항

  • 인증이 필요한 API에는 @PreAuthorize("isAuthenticated()") 를 붙여주세요
  • 메서드 내에서는 Long userId = SecurityUtil.getCurrentUserId(); 같은 방식으로 로그인한 사용자 id를 추출 가능합니다
  • 이전에 브랜치에서 작업한 거 계속 충돌나서 그냥 다른 브랜치로 새로 커밋해서 올렸습니당

@1117mg 1117mg self-assigned this Jul 25, 2025
@claude
Copy link

claude bot commented Jul 25, 2025
edited
Loading

Claude finished @1117mg's task —— View job

코드 리뷰 완료

할 일 목록:

  • 변경된 파일들 분석
  • JWT 인증 필터 구현 검토
  • 보안 설정 변경사항 확인
  • 컨트롤러 인증 로직 검토
  • 전체 리뷰 작성

📋 변경사항 요약

이번 PR에서는 Spring Security 기반의 JWT 인증 시스템을 구현했습니다. OAuth2 로그인 성공 후 JWT 토큰을 발급하고, 모든 API 요청에서 JWT 토큰을 검증하는 필터를 추가했습니다. 인증이 필요한 컨트롤러에는 @PreAuthorize("isAuthenticated()") 애노테이션을 적용하고, SecurityUtil.getCurrentUserId()를 통해 현재 사용자 ID를 추출할 수 있도록 구현했습니다. 전체적으로 잘 구조화된 JWT 인증 시스템이지만, 몇 가지 보안 및 안정성 이슈가 있어 수정이 필요합니다.

🔍 코드 리뷰

보안 이슈:

JwtAuthenticationFilter.java:45-58 - issue: 사용자가 DB에 존재하지 않아도 인증이 성공하지 않는 상황 발생 - ifPresent 사용으로 DB에 없는 사용자는 인증 정보가 설정되지 않아 inconsistent한 상태가 될 수 있음, orElseThrow()로 명시적 예외 처리 필요

SecurityUtil.java:23 - issue: Principal을 Long으로 캐스팅할 때 ClassCastException 위험 - 다른 타입의 Principal이 들어올 경우 런타임 에러 발생, instanceof 체크 후 캐스팅 필요

OAuth2RedirectController.java:18 - issue: JWT 토큰 일부를 로그에 출력하여 보안 위험 - 로그 파일에 토큰 정보가 노출될 수 있음, 토큰 로깅 제거하거나 마스킹 처리 필요

코드 품질 이슈:

JwtAuthenticationFilter.java:60-63 - suggestion: 예외 처리가 너무 광범위함 - 모든 예외를 catch하여 구체적인 오류 원인 파악이 어려움, JWT 관련 예외와 기타 예외를 분리하여 처리 필요

OAuth2SuccessHandler.java:46-50 - suggestion: 예외 발생 시 내부 오류 정보가 노출될 수 있음 - 사용자에게 구체적인 에러 정보 전달 시 보안 위험, 일반적인 오류 메시지로 변경 권장

@1117mg 1117mg requested a review from eric-jy-park July 25, 2025 13:50
@claude
Copy link

claude bot commented Jul 25, 2025
edited
Loading

Claude finished @1117mg's task —— View job

📋 변경사항 요약

이번 PR에서는 Spring Security 기반의 JWT 인증 시스템을 구현했습니다. OAuth2 로그인 성공 후 JWT 토큰을 발급하고, 모든 API 요청에서 JWT 토큰을 검증하는 필터를 추가했습니다. 인증이 필요한 컨트롤러에는 @PreAuthorize("isAuthenticated()") 애노테이션을 적용하고, SecurityUtil.getCurrentUserId()를 통해 현재 사용자 ID를 추출할 수 있도록 구현했습니다. 전체적으로 잘 구조화된 JWT 인증 시스템이지만, 몇 가지 보안 및 안정성 이슈가 있어 수정이 필요합니다.

🔍 코드 리뷰

보안 이슈:

JwtAuthenticationFilter.java:45-58 - issue: 사용자가 DB에 존재하지 않아도 인증이 성공하지 않는 상황 발생 - ifPresent 사용으로 DB에 없는 사용자는 인증 정보가 설정되지 않아 inconsistent한 상태가 될 수 있음, orElseThrow()로 명시적 예외 처리 필요

SecurityUtil.java:23 - issue: Principal을 Long으로 캐스팅할 때 ClassCastException 위험 - 다른 타입의 Principal이 들어올 경우 런타임 에러 발생, instanceof 체크 후 캐스팅 필요

OAuth2RedirectController.java:18 - issue: JWT 토큰 일부를 로그에 출력하여 보안 위험 - 로그 파일에 토큰 정보가 노출될 수 있음, 토큰 로깅 제거하거나 마스킹 처리 필요

코드 품질 이슈:

JwtAuthenticationFilter.java:60-63 - suggestion: 예외 처리가 너무 광범위함 - 모든 예외를 catch하여 구체적인 오류 원인 파악이 어려움, JWT 관련 예외와 기타 예외를 분리하여 처리 필요

OAuth2SuccessHandler.java:46-50 - suggestion: 예외 발생 시 내부 오류 정보가 노출될 수 있음 - 사용자에게 구체적인 에러 정보 전달 시 보안 위험, 일반적인 오류 메시지로 변경 권장

@claude
Copy link

claude bot commented Jul 25, 2025
edited
Loading

Claude finished @1117mg's task —— View job

할 일 목록:

  • 변경된 파일들 분석
  • JWT 인증 필터 구현 검토
  • 보안 설정 변경사항 확인
  • 컨트롤러 인증 로직 검토
  • 전체 리뷰 작성

📋 변경사항 요약

이번 PR에서는 Spring Security 기반의 JWT 인증 시스템을 구현했습니다. OAuth2 로그인 성공 후 JWT 토큰을 발급하고, 모든 API 요청에서 JWT 토큰을 검증하는 필터를 추가했습니다. 인증이 필요한 컨트롤러에는 @PreAuthorize("isAuthenticated()") 애노테이션을 적용하고, SecurityUtil.getCurrentUserId()를 통해 현재 사용자 ID를 추출할 수 있도록 구현했습니다. 전체적으로 잘 구조화된 JWT 인증 시스템이지만, 몇 가지 보안 및 안정성 이슈가 있어 수정이 필요합니다.

🔍 코드 리뷰

보안 이슈:

SecurityUtil.java:29 - issue: Principal을 Long으로 캐스팅할 때 ClassCastException 위험 - 다른 타입의 Principal이 들어올 경우 런타임 에러 발생, instanceof 체크 후 캐스팅 필요

코드 품질 이슈:

JwtAuthenticationFilter.java:60-63 - suggestion: 예외 처리가 너무 광범위함 - 모든 예외를 catch하여 구체적인 오류 원인 파악이 어려움, JWT 관련 예외와 기타 예외를 분리하여 처리 필요

OAuth2SuccessHandler.java:47 - suggestion: 예외 발생 시 내부 오류 정보가 노출될 수 있음 - 사용자에게 구체적인 에러 정보 전달 시 보안 위험, 일반적인 오류 메시지로 변경 권장

@claude
Copy link

claude bot commented Jul 25, 2025
edited
Loading

Claude finished @1117mg's task —— View job

할 일 목록:

  • 변경된 파일들 분석
  • JWT 인증 필터 구현 검토
  • 보안 설정 변경사항 확인
  • 컨트롤러 인증 로직 검토
  • 전체 리뷰 작성

📋 변경사항 요약

이번 PR에서는 Spring Security 기반의 JWT 인증 시스템을 구현했습니다. OAuth2 로그인 성공 후 JWT 토큰을 발급하고, 모든 API 요청에서 JWT 토큰을 검증하는 필터를 추가했습니다. 인증이 필요한 컨트롤러에는 @PreAuthorize("isAuthenticated()") 애노테이션을 적용하고, SecurityUtil.getCurrentUserId()를 통해 현재 사용자 ID를 추출할 수 있도록 구현했습니다. 전체적으로 잘 구조화된 JWT 인증 시스템이지만, 몇 가지 보안 및 안정성 이슈가 있어 수정이 필요합니다.

🔍 코드 리뷰

코드 품질 이슈:

JwtAuthenticationFilter.java:60-63 - suggestion: 예외 처리가 너무 광범위함 - 모든 예외를 catch하여 구체적인 오류 원인 파악이 어려움, JWT 관련 예외와 기타 예외를 분리하여 처리 필요

OAuth2SuccessHandler.java:47 - suggestion: 예외 발생 시 내부 오류 정보가 노출될 수 있음 - 사용자에게 구체적인 에러 정보 전달 시 보안 위험, 일반적인 오류 메시지로 변경 권장

@1117mg 1117mg merged commit 1b22988 into main Jul 25, 2025
1 check passed
@1117mg 1117mg deleted the feat/39-jwt-validation-check branch July 30, 2025 15:07
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@eric-jy-park eric-jy-park Awaiting requested review from eric-jy-park

Assignees

@1117mg 1117mg

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@1117mg