- 입력 검증 강화 (로그인/체인 핸들러 전체) - boss raid 비관적 잠금으로 동시성 문제 해결 - SSAFY 사용자명 sanitize + 트랜잭션 처리 - constant-time API 키 비교, 보안 헤더, graceful shutdown - 안전하지 않은 기본값 경고 추가 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
@@ -1,12 +1,16 @@
|
||||
package auth
|
||||
|
||||
import (
|
||||
"regexp"
|
||||
"strconv"
|
||||
"strings"
|
||||
|
||||
"github.com/gofiber/fiber/v2"
|
||||
)
|
||||
|
||||
// usernameRe allows alphanumeric, underscore, hyphen (3-50 chars).
|
||||
var usernameRe = regexp.MustCompile(`^[a-z0-9_-]{3,50}$`)
|
||||
|
||||
type Handler struct {
|
||||
svc *Service
|
||||
}
|
||||
@@ -27,12 +31,15 @@ func (h *Handler) Register(c *fiber.Ctx) error {
|
||||
if req.Username == "" || req.Password == "" {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디와 비밀번호를 입력해주세요"})
|
||||
}
|
||||
if len(req.Username) > 50 {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디는 50자 이하여야 합니다"})
|
||||
if !usernameRe.MatchString(req.Username) {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디는 3~50자의 영문 소문자, 숫자, _, -만 사용 가능합니다"})
|
||||
}
|
||||
if len(req.Password) < 6 {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "비밀번호는 6자 이상이어야 합니다"})
|
||||
}
|
||||
if len(req.Password) > 72 {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "비밀번호는 72자 이하여야 합니다"})
|
||||
}
|
||||
if err := h.svc.Register(req.Username, req.Password); err != nil {
|
||||
return c.Status(fiber.StatusConflict).JSON(fiber.Map{"error": err.Error()})
|
||||
}
|
||||
@@ -51,6 +58,12 @@ func (h *Handler) Login(c *fiber.Ctx) error {
|
||||
if req.Username == "" || req.Password == "" {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디와 비밀번호를 입력해주세요"})
|
||||
}
|
||||
if len(req.Username) > 50 {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디 또는 비밀번호가 올바르지 않습니다"})
|
||||
}
|
||||
if len(req.Password) > 72 {
|
||||
return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "아이디 또는 비밀번호가 올바르지 않습니다"})
|
||||
}
|
||||
|
||||
accessToken, refreshToken, user, err := h.svc.Login(req.Username, req.Password)
|
||||
if err != nil {
|
||||
|
||||
@@ -44,6 +44,13 @@ func (r *Repository) Delete(id uint) error {
|
||||
return r.db.Delete(&User{}, id).Error
|
||||
}
|
||||
|
||||
// Transaction wraps a function in a database transaction.
|
||||
func (r *Repository) Transaction(fn func(txRepo *Repository) error) error {
|
||||
return r.db.Transaction(func(tx *gorm.DB) error {
|
||||
return fn(&Repository{db: tx})
|
||||
})
|
||||
}
|
||||
|
||||
func (r *Repository) FindBySsafyID(ssafyID string) (*User, error) {
|
||||
var user User
|
||||
if err := r.db.Where("ssafy_id = ?", ssafyID).First(&user).Error; err != nil {
|
||||
|
||||
@@ -313,21 +313,36 @@ func (s *Service) SSAFYLogin(code string) (accessToken, refreshToken string, use
|
||||
}
|
||||
|
||||
ssafyID := userInfo.UserID
|
||||
username := "ssafy_" + ssafyID
|
||||
user = &User{
|
||||
Username: username,
|
||||
PasswordHash: string(hash),
|
||||
Role: RoleUser,
|
||||
SsafyID: &ssafyID,
|
||||
// SSAFY ID에서 영문 소문자+숫자만 추출하여 안전한 username 생성
|
||||
safeID := sanitizeForUsername(ssafyID)
|
||||
if safeID == "" {
|
||||
safeID = hex.EncodeToString(randomBytes[:8])
|
||||
}
|
||||
if err := s.repo.Create(user); err != nil {
|
||||
username := "ssafy_" + safeID
|
||||
if len(username) > 50 {
|
||||
username = username[:50]
|
||||
}
|
||||
|
||||
var newUserID uint
|
||||
err = s.repo.Transaction(func(txRepo *Repository) error {
|
||||
user = &User{
|
||||
Username: username,
|
||||
PasswordHash: string(hash),
|
||||
Role: RoleUser,
|
||||
SsafyID: &ssafyID,
|
||||
}
|
||||
return txRepo.Create(user)
|
||||
})
|
||||
if err != nil {
|
||||
return "", "", nil, fmt.Errorf("계정 생성 실패: %v", err)
|
||||
}
|
||||
newUserID = user.ID
|
||||
|
||||
if s.walletCreator != nil {
|
||||
if err := s.walletCreator(user.ID); err != nil {
|
||||
log.Printf("wallet creation failed for SSAFY user %d: %v — rolling back", user.ID, err)
|
||||
if delErr := s.repo.Delete(user.ID); delErr != nil {
|
||||
log.Printf("WARNING: rollback delete also failed for SSAFY user %d: %v", user.ID, delErr)
|
||||
if err := s.walletCreator(newUserID); err != nil {
|
||||
log.Printf("wallet creation failed for SSAFY user %d: %v — rolling back", newUserID, err)
|
||||
if delErr := s.repo.Delete(newUserID); delErr != nil {
|
||||
log.Printf("WARNING: rollback delete also failed for SSAFY user %d: %v", newUserID, delErr)
|
||||
}
|
||||
return "", "", nil, fmt.Errorf("계정 초기화에 실패했습니다. 잠시 후 다시 시도해주세요")
|
||||
}
|
||||
@@ -373,6 +388,17 @@ func (s *Service) VerifyToken(tokenStr string) (string, error) {
|
||||
return claims.Username, nil
|
||||
}
|
||||
|
||||
// sanitizeForUsername strips characters that are not [a-z0-9_-].
|
||||
func sanitizeForUsername(s string) string {
|
||||
var b strings.Builder
|
||||
for _, c := range strings.ToLower(s) {
|
||||
if (c >= 'a' && c <= 'z') || (c >= '0' && c <= '9') || c == '_' || c == '-' {
|
||||
b.WriteRune(c)
|
||||
}
|
||||
}
|
||||
return b.String()
|
||||
}
|
||||
|
||||
func (s *Service) EnsureAdmin(username, password string) error {
|
||||
if _, err := s.repo.FindByUsername(username); err == nil {
|
||||
return nil
|
||||
|
||||
Reference in New Issue
Block a user