TK-FB-Project

hyungi/TK-FB-Project

Fork 0

Commit Graph

Author	SHA1	Message	Date
Hyungi Ahn	36f110c90a	fix: 보안 취약점 수정 및 XSS 방지 적용 ## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-02-05 06:33:10 +09:00
Hyungi Ahn	349ab60561	refactor: Phase 3.3 - 통합 인증/인가 미들웨어 시스템 구축 주요 변경사항: 1. middlewares/auth.js 신규 생성 (355 lines) * 4개 핵심 미들웨어 통합: - requireAuth: JWT 토큰 검증 - requireRole(...roles): 특정 역할 체크 - requireMinLevel(level): 계층적 권한 레벨 체크 - requireOwnerOrAdmin(options): 소유자/관리자 체크 * 커스텀 에러 클래스 적용: - AuthenticationError (401) - ForbiddenError (403) * 구조화된 로깅 시스템 통합 * 레거시 호환성 별칭 제공: - verifyToken = requireAuth - requireAdmin = requireRole('admin', 'system') - requireSystem = requireRole('system') * ACCESS_LEVELS 상수 정의 및 export 2. 라우터 업데이트 (새로운 미들웨어 적용) * routes/workReportAnalysisRoutes.js - authMiddleware → auth로 변경 - requireAdmin → requireRole('admin', 'system') * routes/systemRoutes.js - 커스텀 requireSystemAccess 제거 - requireRole('system') 사용 - 14줄 코드 감소 (298 → 284 lines) * routes/auth.js - utils/access의 requireAccess 제거 - requireAuth + requireRole 조합 사용 3. 레거시 호환성 래퍼 (하위 호환성 유지) * middlewares/authMiddleware.js (89 → 37 lines, 58% 감소) - auth.js의 래퍼로 변경 - @deprecated 태그 추가 - 기존 22개 파일 호환성 유지 * middlewares/accessMiddleware.js (33 → 30 lines) - requireMinLevel 래퍼로 변경 - @deprecated 태그 및 마이그레이션 가이드 추가 * utils/access.js - requireAccess 레거시 함수 추가 (하위 호환성) - 유틸리티 함수들은 그대로 유지 기술적 개선사항: - 중복 코드 제거: 4개 파일에 분산된 인증 로직 통합 - 일관된 에러 처리: 커스텀 에러 클래스 사용 - 상세한 로깅: 인증/인가 실패 원인 추적 가능 - 보안 강화: TokenExpiredError, JsonWebTokenError 세분화 처리 - 확장성: 새로운 권한 체크 패턴 쉽게 추가 가능 - JSDoc 문서화: 모든 함수에 상세한 사용 예제 포함 통합 전후 비교: - 미들웨어 파일: 4개 → 1개 (통합) + 3개 (래퍼) - 중복 코드: ~150 lines → 0 lines - 일관성: 4가지 다른 패턴 → 1가지 통합 패턴 레거시 호환성: - 기존 22개 라우터 파일 중 19개는 수정 없이 동작 - 3개 라우터만 새로운 패턴으로 업데이트 (예시용) - verifyToken, requireAdmin, requireSystem 별칭 제공 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-12-11 12:12:44 +09:00
hyungi	09a4d38512	feat: 초기 프로젝트 설정 및 룰.md 파일 추가	2025-07-28 09:53:31 +09:00

Author

SHA1

Message

Date

Hyungi Ahn

36f110c90a

fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

2026-02-05 06:33:10 +09:00

Hyungi Ahn

349ab60561

refactor: Phase 3.3 - 통합 인증/인가 미들웨어 시스템 구축

주요 변경사항:

1. middlewares/auth.js 신규 생성 (355 lines)
   * 4개 핵심 미들웨어 통합:
     - requireAuth: JWT 토큰 검증
     - requireRole(...roles): 특정 역할 체크
     - requireMinLevel(level): 계층적 권한 레벨 체크
     - requireOwnerOrAdmin(options): 소유자/관리자 체크

   * 커스텀 에러 클래스 적용:
     - AuthenticationError (401)
     - ForbiddenError (403)

   * 구조화된 로깅 시스템 통합
   * 레거시 호환성 별칭 제공:
     - verifyToken = requireAuth
     - requireAdmin = requireRole('admin', 'system')
     - requireSystem = requireRole('system')

   * ACCESS_LEVELS 상수 정의 및 export

2. 라우터 업데이트 (새로운 미들웨어 적용)
   * routes/workReportAnalysisRoutes.js
     - authMiddleware → auth로 변경
     - requireAdmin → requireRole('admin', 'system')

   * routes/systemRoutes.js
     - 커스텀 requireSystemAccess 제거
     - requireRole('system') 사용
     - 14줄 코드 감소 (298 → 284 lines)

   * routes/auth.js
     - utils/access의 requireAccess 제거
     - requireAuth + requireRole 조합 사용

3. 레거시 호환성 래퍼 (하위 호환성 유지)
   * middlewares/authMiddleware.js (89 → 37 lines, 58% 감소)
     - auth.js의 래퍼로 변경
     - @deprecated 태그 추가
     - 기존 22개 파일 호환성 유지

   * middlewares/accessMiddleware.js (33 → 30 lines)
     - requireMinLevel 래퍼로 변경
     - @deprecated 태그 및 마이그레이션 가이드 추가

   * utils/access.js
     - requireAccess 레거시 함수 추가 (하위 호환성)
     - 유틸리티 함수들은 그대로 유지

기술적 개선사항:
- 중복 코드 제거: 4개 파일에 분산된 인증 로직 통합
- 일관된 에러 처리: 커스텀 에러 클래스 사용
- 상세한 로깅: 인증/인가 실패 원인 추적 가능
- 보안 강화: TokenExpiredError, JsonWebTokenError 세분화 처리
- 확장성: 새로운 권한 체크 패턴 쉽게 추가 가능
- JSDoc 문서화: 모든 함수에 상세한 사용 예제 포함

통합 전후 비교:
- 미들웨어 파일: 4개 → 1개 (통합) + 3개 (래퍼)
- 중복 코드: ~150 lines → 0 lines
- 일관성: 4가지 다른 패턴 → 1가지 통합 패턴

레거시 호환성:
- 기존 22개 라우터 파일 중 19개는 수정 없이 동작
- 3개 라우터만 새로운 패턴으로 업데이트 (예시용)
- verifyToken, requireAdmin, requireSystem 별칭 제공

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-12-11 12:12:44 +09:00

hyungi

09a4d38512

feat: 초기 프로젝트 설정 및 룰.md 파일 추가

2025-07-28 09:53:31 +09:00

3 Commits