36f110c90a
## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
32 lines
1.1 KiB
JavaScript
32 lines
1.1 KiB
JavaScript
// routes/notificationRoutes.js
|
|
const express = require('express');
|
|
const router = express.Router();
|
|
const notificationController = require('../controllers/notificationController');
|
|
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
|
|
|
|
// 모든 알림 라우트는 인증 필요
|
|
router.use(requireAuth);
|
|
|
|
// 읽지 않은 알림 조회 (본인 알림만)
|
|
router.get('/unread', notificationController.getUnread);
|
|
|
|
// 읽지 않은 알림 개수
|
|
router.get('/unread/count', notificationController.getUnreadCount);
|
|
|
|
// 전체 알림 조회 (페이징)
|
|
router.get('/', notificationController.getAll);
|
|
|
|
// 알림 생성 (시스템/관리자용)
|
|
router.post('/', requireMinLevel('support_team'), notificationController.create);
|
|
|
|
// 모든 알림 읽음 처리 (본인 알림만)
|
|
router.post('/read-all', notificationController.markAllAsRead);
|
|
|
|
// 특정 알림 읽음 처리 (본인 알림만)
|
|
router.post('/:id/read', notificationController.markAsRead);
|
|
|
|
// 알림 삭제 (본인 알림만)
|
|
router.delete('/:id', notificationController.delete);
|
|
|
|
module.exports = router;
|