12367dd3a1
Phase 1 CRITICAL XSS: - marked.parse() → DOMPurify.sanitize() (system3 ai-assistant, issues-management) - toast innerHTML에 escapeHtml 적용 (system1 api-base, system3 common-header) - onclick 핸들러 → data 속성 + addEventListener (system2 issue-detail) Phase 2 HIGH 인가: - getUserBalance 본인확인 추가 (tksupport vacationController) Phase 3 HIGH 토큰+CSP: - localStorage 토큰 저장 제거 — 쿠키 전용 (7개 서비스) - unsafe-eval CSP 제거 (system1 security.js) Phase 4 MEDIUM: - nginx 보안 헤더 추가 (8개 서비스) - 500 에러 메시지 마스킹 (5개 API) - path traversal 방지 (system3 file_service.py) - cookie fallback 데드코드 제거 (4개 auth.js) - /login/form rate limiting 추가 (sso-auth) Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
56 lines
1.5 KiB
JavaScript
56 lines
1.5 KiB
JavaScript
// js/auth.js
|
|
|
|
/**
|
|
* JWT 토큰을 디코딩하여 페이로드(내용)를 반환합니다.
|
|
* @param {string} token - JWT 토큰
|
|
* @returns {object|null} - 디코딩된 페이로드 객체 또는 파싱 실패 시 null
|
|
*/
|
|
export function parseJwt(token) {
|
|
try {
|
|
const b = atob(token.split('.')[1].replace(/-/g,'+').replace(/_/g,'/'));
|
|
return JSON.parse(new TextDecoder().decode(Uint8Array.from(b, c => c.charCodeAt(0))));
|
|
} catch (e) {
|
|
console.error("잘못된 토큰입니다.", e);
|
|
return null;
|
|
}
|
|
}
|
|
|
|
/**
|
|
* 인증 토큰을 가져옵니다 (쿠키 → localStorage 폴백).
|
|
*/
|
|
export function getToken() {
|
|
if (window.getSSOToken) return window.getSSOToken();
|
|
return null;
|
|
}
|
|
|
|
/**
|
|
* 사용자 정보를 가져옵니다 (쿠키 → localStorage 폴백).
|
|
*/
|
|
export function getUser() {
|
|
if (window.getSSOUser) return window.getSSOUser();
|
|
return null;
|
|
}
|
|
|
|
/**
|
|
* 로그인 성공 후 토큰과 사용자 정보를 저장합니다.
|
|
* sso_token/sso_user 키로 저장합니다.
|
|
*/
|
|
export function saveAuthData(token, user) {
|
|
// 쿠키 기반 인증 — localStorage 저장 불필요 (gateway에서 쿠키 설정)
|
|
}
|
|
|
|
/**
|
|
* 로그아웃 시 인증 정보를 제거합니다.
|
|
*/
|
|
export function clearAuthData() {
|
|
if (window.clearSSOAuth) { window.clearSSOAuth(); return; }
|
|
}
|
|
|
|
/**
|
|
* 현재 사용자가 로그인 상태인지 확인합니다.
|
|
*/
|
|
export function isLoggedIn() {
|
|
const token = getToken();
|
|
return !!token && token !== 'undefined' && token !== 'null';
|
|
}
|