feat: 코드 리뷰 기반 전면 개선 — 보안, 검증, 테스트, 안정성
- 체인 nonce 경쟁 조건 수정 (operatorMu + per-user mutex) - 등록/SSAFY 원자적 트랜잭션 (wallet+profile 롤백 보장) - IdempotencyRequired 미들웨어 (SETNX 원자적 클레임) - 런치 티켓 API (JWT URL 노출 방지) - HttpOnly 쿠키 refresh token - SSAFY OAuth state 파라미터 (CSRF 방지) - Refresh 시 DB 조회로 최신 role 사용 - 공지사항/유저목록 페이지네이션 - BodyLimit 미들웨어 (1MB, upload 제외) - 입력 검증 강화 (닉네임, 게임데이터, 공지 길이) - 에러 메시지 내부 정보 노출 방지 - io.LimitReader (RPC 10MB, SSAFY 1MB) - RequestID 비출력 문자 제거 - 단위 테스트 (auth 11, announcement 9, bossraid 16) Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -6,6 +6,32 @@ import (
|
||||
"gorm.io/gorm"
|
||||
)
|
||||
|
||||
// validateGameData checks that game data fields are within acceptable ranges.
|
||||
func validateGameData(data *GameDataRequest) error {
|
||||
if data.Level != nil && (*data.Level < 1 || *data.Level > 999) {
|
||||
return fmt.Errorf("레벨은 1~999 범위여야 합니다")
|
||||
}
|
||||
if data.Experience != nil && *data.Experience < 0 {
|
||||
return fmt.Errorf("경험치는 0 이상이어야 합니다")
|
||||
}
|
||||
if data.MaxHP != nil && (*data.MaxHP < 1 || *data.MaxHP > 999999) {
|
||||
return fmt.Errorf("최대 HP는 1~999999 범위여야 합니다")
|
||||
}
|
||||
if data.MaxMP != nil && (*data.MaxMP < 1 || *data.MaxMP > 999999) {
|
||||
return fmt.Errorf("최대 MP는 1~999999 범위여야 합니다")
|
||||
}
|
||||
if data.AttackPower != nil && (*data.AttackPower < 0 || *data.AttackPower > 999999) {
|
||||
return fmt.Errorf("공격력은 0~999999 범위여야 합니다")
|
||||
}
|
||||
if data.AttackRange != nil && (*data.AttackRange < 0 || *data.AttackRange > 100) {
|
||||
return fmt.Errorf("attack_range must be 0-100")
|
||||
}
|
||||
if data.PlayTimeDelta != nil && *data.PlayTimeDelta < 0 {
|
||||
return fmt.Errorf("플레이 시간 변화량은 0 이상이어야 합니다")
|
||||
}
|
||||
return nil
|
||||
}
|
||||
|
||||
type Service struct {
|
||||
repo *Repository
|
||||
userResolver func(username string) (uint, error)
|
||||
@@ -68,6 +94,10 @@ func (s *Service) UpdateProfile(userID uint, nickname string) (*PlayerProfile, e
|
||||
|
||||
// SaveGameData 게임 서버에서 호출: 게임 데이터를 저장한다.
|
||||
func (s *Service) SaveGameData(userID uint, data *GameDataRequest) error {
|
||||
if err := validateGameData(data); err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
updates := map[string]interface{}{}
|
||||
|
||||
if data.Level != nil {
|
||||
@@ -124,6 +154,7 @@ func (s *Service) SaveGameDataByUsername(username string, data *GameDataRequest)
|
||||
if s.userResolver == nil {
|
||||
return fmt.Errorf("userResolver가 설정되지 않았습니다")
|
||||
}
|
||||
// Note: validateGameData is called inside SaveGameData, no need to call it here.
|
||||
userID, err := s.userResolver(username)
|
||||
if err != nil {
|
||||
return fmt.Errorf("존재하지 않는 유저입니다")
|
||||
|
||||
Reference in New Issue
Block a user