refactor: Phase 2-2 - 사용자 관리 모듈화 및 설정 파일 분리
사용자 관리 API를 컨트롤러/라우터 패턴으로 리팩토링하고, CORS 및 보안 설정을 별도 파일로 분리하여 코드 구조 개선 주요 변경사항: - userController.js: 새로운 에러 핸들링 및 로깅 시스템 적용 * ValidationError, NotFoundError, ConflictError 등 커스텀 에러 사용 * logger 유틸리티로 구조화된 로깅 * 관리자 권한 검증 헬퍼 함수 추가 - index.js: 인라인 사용자 관리 라우트 제거 (888 → 605 lines) * 283줄 감소로 코드 가독성 대폭 향상 * userRoutes 모듈 import 및 사용 - userRoutes.js: 문서화 및 로깅 개선 * JSDoc 헤더 추가 * adminOnly 미들웨어에 로깅 추가 신규 파일: - config/cors.js: CORS 정책 설정 (허용 origin, 메소드, 헤더) - config/security.js: Helmet 보안 헤더 설정 (CSP, HSTS, XSS 방지) - middlewares/activityLogger.js: HTTP 요청/응답 활동 로깅 파일 통계: - 3개 파일 수정, 3개 파일 추가 - +437 -480 (net -43 lines) 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
Hyungi Ahn
89
api.hyungi.net/config/cors.js
Normal file
89
api.hyungi.net/config/cors.js
Normal file
@@ -0,0 +1,89 @@
|
||||
/**
|
||||
* CORS 설정
|
||||
*
|
||||
* Cross-Origin Resource Sharing 설정
|
||||
*
|
||||
* @author TK-FB-Project
|
||||
* @since 2025-12-11
|
||||
*/
|
||||
|
||||
const logger = require('../utils/logger');
|
||||
|
||||
/**
|
||||
* 허용된 Origin 목록
|
||||
*/
|
||||
const allowedOrigins = [
|
||||
'http://localhost:20000', // 웹 UI
|
||||
'http://localhost:3005', // API 서버
|
||||
'http://localhost:3000', // 개발 포트
|
||||
'http://127.0.0.1:20000', // 로컬호스트 대체
|
||||
'http://127.0.0.1:3005',
|
||||
'http://127.0.0.1:3000'
|
||||
];
|
||||
|
||||
/**
|
||||
* CORS 설정 옵션
|
||||
*/
|
||||
const corsOptions = {
|
||||
/**
|
||||
* Origin 검증 함수
|
||||
*/
|
||||
origin: function (origin, callback) {
|
||||
// Origin이 없는 경우 (직접 접근, Postman 등)
|
||||
if (!origin) {
|
||||
logger.debug('CORS: Origin 없음 - 허용');
|
||||
return callback(null, true);
|
||||
}
|
||||
|
||||
// 허용된 Origin 확인
|
||||
if (allowedOrigins.includes(origin)) {
|
||||
logger.debug('CORS: 허용된 Origin', { origin });
|
||||
return callback(null, true);
|
||||
}
|
||||
|
||||
// 개발 환경에서는 모든 localhost 허용
|
||||
if (process.env.NODE_ENV === 'development') {
|
||||
if (origin.includes('localhost') || origin.includes('127.0.0.1')) {
|
||||
logger.debug('CORS: 로컬호스트 허용 (개발 모드)', { origin });
|
||||
return callback(null, true);
|
||||
}
|
||||
}
|
||||
|
||||
// 로컬 네트워크 IP 자동 허용 (192.168.x.x)
|
||||
if (origin.match(/^http:\/\/192\.168\.\d+\.\d+(:\d+)?$/)) {
|
||||
logger.debug('CORS: 로컬 네트워크 IP 허용', { origin });
|
||||
return callback(null, true);
|
||||
}
|
||||
|
||||
// 차단
|
||||
logger.warn('CORS: 차단된 Origin', { origin });
|
||||
callback(new Error(`CORS 정책에 의해 차단됨: ${origin}`));
|
||||
},
|
||||
|
||||
/**
|
||||
* 인증 정보 포함 허용
|
||||
*/
|
||||
credentials: true,
|
||||
|
||||
/**
|
||||
* 허용된 HTTP 메소드
|
||||
*/
|
||||
methods: ['GET', 'POST', 'PUT', 'DELETE', 'PATCH', 'OPTIONS'],
|
||||
|
||||
/**
|
||||
* 허용된 헤더
|
||||
*/
|
||||
allowedHeaders: ['Content-Type', 'Authorization', 'X-Requested-With'],
|
||||
|
||||
/**
|
||||
* 노출할 헤더
|
||||
*/
|
||||
exposedHeaders: ['Content-Range', 'X-Content-Range'],
|
||||
|
||||
/**
|
||||
* Preflight 요청 캐시 시간 (초)
|
||||
*/
|
||||
maxAge: 86400 // 24시간
|
||||
};
|
||||
|
||||
module.exports = corsOptions;
|
||||
92
api.hyungi.net/config/security.js
Normal file
92
api.hyungi.net/config/security.js
Normal file
@@ -0,0 +1,92 @@
|
||||
/**
|
||||
* 보안 설정 (Helmet)
|
||||
*
|
||||
* HTTP 헤더 보안 설정
|
||||
*
|
||||
* @author TK-FB-Project
|
||||
* @since 2025-12-11
|
||||
*/
|
||||
|
||||
/**
|
||||
* Helmet 보안 설정 옵션
|
||||
*/
|
||||
const helmetOptions = {
|
||||
/**
|
||||
* Content Security Policy
|
||||
* XSS 공격 방지
|
||||
*/
|
||||
contentSecurityPolicy: {
|
||||
directives: {
|
||||
defaultSrc: ["'self'"],
|
||||
styleSrc: ["'self'", "'unsafe-inline'", "https://fonts.googleapis.com"],
|
||||
scriptSrc: ["'self'", "'unsafe-inline'", "'unsafe-eval'"], // 개발 중 unsafe-eval 허용
|
||||
imgSrc: ["'self'", "data:", "https:", "blob:"],
|
||||
fontSrc: ["'self'", "https://fonts.gstatic.com"],
|
||||
connectSrc: ["'self'", "https://api.technicalkorea.com"],
|
||||
frameSrc: ["'none'"],
|
||||
objectSrc: ["'none'"]
|
||||
}
|
||||
},
|
||||
|
||||
/**
|
||||
* HTTP Strict Transport Security (HSTS)
|
||||
* HTTPS 강제 사용
|
||||
*/
|
||||
hsts: {
|
||||
maxAge: 31536000, // 1년
|
||||
includeSubDomains: true,
|
||||
preload: true
|
||||
},
|
||||
|
||||
/**
|
||||
* X-Frame-Options
|
||||
* 클릭재킹 공격 방지
|
||||
*/
|
||||
frameguard: {
|
||||
action: 'deny'
|
||||
},
|
||||
|
||||
/**
|
||||
* X-Content-Type-Options
|
||||
* MIME 타입 스니핑 방지
|
||||
*/
|
||||
noSniff: true,
|
||||
|
||||
/**
|
||||
* X-XSS-Protection
|
||||
* XSS 필터 활성화
|
||||
*/
|
||||
xssFilter: true,
|
||||
|
||||
/**
|
||||
* Referrer-Policy
|
||||
* 리퍼러 정보 제어
|
||||
*/
|
||||
referrerPolicy: {
|
||||
policy: 'strict-origin-when-cross-origin'
|
||||
},
|
||||
|
||||
/**
|
||||
* X-DNS-Prefetch-Control
|
||||
* DNS prefetching 제어
|
||||
*/
|
||||
dnsPrefetchControl: {
|
||||
allow: false
|
||||
},
|
||||
|
||||
/**
|
||||
* X-Download-Options
|
||||
* IE8+ 다운로드 옵션
|
||||
*/
|
||||
ieNoOpen: true,
|
||||
|
||||
/**
|
||||
* X-Permitted-Cross-Domain-Policies
|
||||
* Adobe 제품의 크로스 도메인 정책
|
||||
*/
|
||||
permittedCrossDomainPolicies: {
|
||||
permittedPolicies: 'none'
|
||||
}
|
||||
};
|
||||
|
||||
module.exports = helmetOptions;
|
||||
Reference in New Issue
Block a user