36cf9d553d
- setLongServiceExclusion: affectedRows 체크 추가 (존재하지 않는 user_id → 404) - ACCESS_LEVELS: user: 1 키 추가 (role='user' 사용자 레벨 0 방지) - escapeHtml → escHtml 통일 (tkuser-vacations.js 라인 381) Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
107 lines
3.4 KiB
JavaScript
107 lines
3.4 KiB
JavaScript
/**
|
|
* 인증 미들웨어
|
|
* JWT 검증 + admin 체크
|
|
*/
|
|
|
|
const jwt = require('jsonwebtoken');
|
|
|
|
const JWT_SECRET = process.env.SSO_JWT_SECRET;
|
|
|
|
/**
|
|
* Bearer 토큰 또는 쿠키에서 토큰 추출
|
|
*/
|
|
function extractToken(req) {
|
|
const authHeader = req.headers['authorization'];
|
|
if (authHeader && authHeader.startsWith('Bearer ')) {
|
|
return authHeader.split(' ')[1];
|
|
}
|
|
return null;
|
|
}
|
|
|
|
/**
|
|
* 인증 필수 미들웨어
|
|
*/
|
|
function requireAuth(req, res, next) {
|
|
const token = extractToken(req);
|
|
if (!token) {
|
|
return res.status(401).json({ success: false, error: '인증이 필요합니다' });
|
|
}
|
|
try {
|
|
const decoded = jwt.verify(token, JWT_SECRET);
|
|
req.user = decoded;
|
|
next();
|
|
} catch {
|
|
return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
|
|
}
|
|
}
|
|
|
|
/**
|
|
* 관리자 권한 미들웨어
|
|
*/
|
|
function requireAdmin(req, res, next) {
|
|
const token = extractToken(req);
|
|
if (!token) {
|
|
return res.status(401).json({ success: false, error: '인증이 필요합니다' });
|
|
}
|
|
try {
|
|
const decoded = jwt.verify(token, JWT_SECRET);
|
|
if (!['admin', 'system'].includes((decoded.role || '').toLowerCase())) {
|
|
return res.status(403).json({ success: false, error: '관리자 권한이 필요합니다' });
|
|
}
|
|
req.user = decoded;
|
|
next();
|
|
} catch {
|
|
return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
|
|
}
|
|
}
|
|
|
|
/**
|
|
* 관리자 또는 특정 페이지 권한 보유자 미들웨어 팩토리
|
|
*/
|
|
function requireAdminOrPermission(pageName) {
|
|
return async (req, res, next) => {
|
|
const token = extractToken(req);
|
|
if (!token) return res.status(401).json({ success: false, error: '인증이 필요합니다' });
|
|
try {
|
|
const decoded = jwt.verify(token, JWT_SECRET);
|
|
req.user = decoded;
|
|
if (['admin', 'system'].includes((decoded.role || '').toLowerCase())) return next();
|
|
const { checkAccess } = require('../models/permissionModel');
|
|
const result = await checkAccess(decoded.user_id || decoded.id, pageName);
|
|
if (result.can_access) return next();
|
|
return res.status(403).json({ success: false, error: '권한이 없습니다' });
|
|
} catch {
|
|
return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
|
|
}
|
|
};
|
|
}
|
|
|
|
/**
|
|
* 최소 권한 레벨 체크 미들웨어
|
|
* worker(1) < group_leader(2) < support_team(3) < admin(4) < system(5)
|
|
*/
|
|
const ACCESS_LEVELS = { user: 1, worker: 1, group_leader: 2, support_team: 3, admin: 4, system: 5 };
|
|
|
|
function requireMinLevel(minLevel) {
|
|
return (req, res, next) => {
|
|
const token = extractToken(req);
|
|
if (!token) {
|
|
return res.status(401).json({ success: false, error: '인증이 필요합니다' });
|
|
}
|
|
try {
|
|
const decoded = jwt.verify(token, JWT_SECRET);
|
|
req.user = decoded;
|
|
const userLevel = ACCESS_LEVELS[decoded.access_level] || ACCESS_LEVELS[decoded.role] || 0;
|
|
const requiredLevel = ACCESS_LEVELS[minLevel] || 999;
|
|
if (userLevel < requiredLevel) {
|
|
return res.status(403).json({ success: false, error: `${minLevel} 이상의 권한이 필요합니다` });
|
|
}
|
|
next();
|
|
} catch {
|
|
return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
|
|
}
|
|
};
|
|
}
|
|
|
|
module.exports = { extractToken, requireAuth, requireAdmin, requireAdminOrPermission, requireMinLevel };
|