tolelom
cc751653c4
All checks were successful
Server CI/CD / deploy (push) Successful in 1m26s
보안: - RPC 응답 HTTP 상태코드 검증 (chain/client) - SSAFY OAuth 에러 응답 내부 로깅으로 변경 (제3자 상세 노출 제거) - resolveUsername에서 username 노출 제거 - LIKE 쿼리 특수문자 이스케이프 (bossraid/repository) - 파일명 경로 순회 방지 + 길이 제한 (download/handler) - ServerAuth 실패 로깅 추가 안정성: - AutoMigrate 에러 시 서버 종료 - GetLatest() 에러 시 nil 반환 (초기화 안 된 포인터 방지) - 멱등성 캐시 저장 시 새 context 사용 - SSAFY HTTP 클라이언트 타임아웃 10s - io.ReadAll/rand.Read 에러 처리 - Login에서 DB 에러/Not Found 구분 검증 강화: - 중복 플레이어 검증 (bossraid/service) - username 길이 제한 50자 (auth/handler, bossraid/handler) - 역할 변경 시 세션 무효화 - 지갑 복호화 실패 로깅 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
81 lines
2.6 KiB
Go
81 lines
2.6 KiB
Go
package middleware
|
|
|
|
import (
|
|
"context"
|
|
"fmt"
|
|
"log"
|
|
"strings"
|
|
|
|
"a301_server/pkg/config"
|
|
"a301_server/pkg/database"
|
|
"github.com/gofiber/fiber/v2"
|
|
"github.com/golang-jwt/jwt/v5"
|
|
)
|
|
|
|
func Auth(c *fiber.Ctx) error {
|
|
header := c.Get("Authorization")
|
|
if !strings.HasPrefix(header, "Bearer ") {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "인증이 필요합니다"})
|
|
}
|
|
tokenStr := strings.TrimPrefix(header, "Bearer ")
|
|
|
|
token, err := jwt.Parse(tokenStr, func(t *jwt.Token) (any, error) {
|
|
if _, ok := t.Method.(*jwt.SigningMethodHMAC); !ok {
|
|
return nil, fmt.Errorf("unexpected signing method")
|
|
}
|
|
return []byte(config.C.JWTSecret), nil
|
|
})
|
|
if err != nil || !token.Valid {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 토큰입니다"})
|
|
}
|
|
|
|
claims, ok := token.Claims.(jwt.MapClaims)
|
|
if !ok {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 토큰입니다"})
|
|
}
|
|
userIDFloat, ok := claims["user_id"].(float64)
|
|
if !ok {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 토큰입니다"})
|
|
}
|
|
username, ok := claims["username"].(string)
|
|
if !ok {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 토큰입니다"})
|
|
}
|
|
role, ok := claims["role"].(string)
|
|
if !ok {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 토큰입니다"})
|
|
}
|
|
userID := uint(userIDFloat)
|
|
|
|
// Redis 세션 확인
|
|
ctx, cancel := context.WithTimeout(context.Background(), redisTimeout)
|
|
defer cancel()
|
|
key := fmt.Sprintf("session:%d", userID)
|
|
stored, err := database.RDB.Get(ctx, key).Result()
|
|
if err != nil || stored != tokenStr {
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "만료되었거나 로그아웃된 세션입니다"})
|
|
}
|
|
|
|
c.Locals("userID", userID)
|
|
c.Locals("username", username)
|
|
c.Locals("role", role)
|
|
return c.Next()
|
|
}
|
|
|
|
func AdminOnly(c *fiber.Ctx) error {
|
|
if c.Locals("role") != "admin" {
|
|
return c.Status(fiber.StatusForbidden).JSON(fiber.Map{"error": "관리자 권한이 필요합니다"})
|
|
}
|
|
return c.Next()
|
|
}
|
|
|
|
// ServerAuth validates X-API-Key header for server-to-server communication.
|
|
func ServerAuth(c *fiber.Ctx) error {
|
|
key := c.Get("X-API-Key")
|
|
if key == "" || config.C.InternalAPIKey == "" || key != config.C.InternalAPIKey {
|
|
log.Printf("ServerAuth 실패: IP=%s, Path=%s, KeyPresent=%v", c.IP(), c.Path(), key != "")
|
|
return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 API 키입니다"})
|
|
}
|
|
return c.Next()
|
|
}
|