fix: [internal] MNG 내부 토큰 교환 테넌트 검증 수정

- InternalTokenService: 테넌트 소속 검사 제거 (HMAC으로 이미 신뢰) - ApiKeyMiddleware: mng_session 토큰 시 X-TENANT-ID 헤더 우선 적용 - MNG 관리자가 모든 테넌트의 BOM 산출 가능하도록 개선
2026-03-18 13:07:54 +09:00
parent 13f84467f0
commit 97c9cff4c7
2 changed files with 13 additions and 10 deletions
--- a/app/Services/InternalTokenService.php
+++ b/app/Services/InternalTokenService.php
@@ -97,16 +97,9 @@ public function issueToken(int $userId, int $tenantId): ?array
            return null;
        }

-        // 해당 테넌트에 소속되어 있는지 확인
-        $userTenant = $user->userTenants()->where('tenant_id', $tenantId)->first();
-        if (! $userTenant) {
-            Log::warning('[InternalTokenService] User not in tenant', [
-                'user_id' => $userId,
-                'tenant_id' => $tenantId,
-            ]);
-
-            return null;
-        }
+        // MNG 내부 토큰 교환: 테넌트 소속 검사 생략
+        // HMAC 서명으로 MNG 서버 신뢰성이 검증되었으므로,
+        // MNG 관리자는 모든 테넌트에 접근 가능

        // 기존 mng_session 토큰 삭제 (중복 방지)
        $user->tokens()->where('name', 'mng_session')->delete();