SamProject/sam-react-prod
6
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
13d27553b9f08a5d8a040ad8a2c4107ce318cd40
sam-react-prod/docs/[REF] session-migration-backend.md

615 lines
14 KiB
Markdown
Raw Normal View History

master_api_sum - 2025-12-28 고객센터 시스템 게시판 API 연동 수정 기록 - 날짜 범위 필터 초기값 변경 내용 문서화 fix: 고객센터 목록 날짜 범위 초기값 변경 - EventList, InquiryList, NoticeList 날짜 범위 초기값 빈 문자열로 변경 - 페이지 진입 시 전체 데이터 조회 가능하도록 수정 feat: 1:1 문의 댓글 기능 API 연동 - 댓글 CRUD API 함수 구현 (shared/actions.ts) - getComments, createComment, updateComment, deleteComment - CommentApiData 타입 및 transformApiToComment 변환 함수 추가 - InquiryDetail 컴포넌트 callback props 방식으로 변경 - user.id localStorage 저장으로 본인 글 수정/삭제 버튼 표시 - page.tsx에서 댓글 API 호출 및 상태 관리 feat(WEB): 게시판 시스템 Mock → API 연동 (Phase J) - BoardList: getPosts, getMyPosts API 연동 - BoardDetail: getPost API 연동, 새 라우트 구조 적용 - BoardForm: getBoards, createPost, updatePost API 연동 - 라우트 변경: /board/[id] → /board/[boardCode]/[postId] - Toast 라이브러리 sonner로 통일 - MOCK_BOARDS 완전 제거, types.ts 정리 chore: 작업 현황 업데이트 refactor: BoardForm 부서 Mock 데이터 분리 - types.ts에서 MOCK_DEPARTMENTS 제거 - BoardForm 내부에 임시 Mock 데이터 정의 - TODO: API에서 부서 목록 연동 필요 feat: 종합현황 반려 사유 입력 Dialog 추가 - 반려 시 사유 입력 Dialog 표시 - 사유 미입력 시 toast 에러 메시지 - rejectIssue 함수에 reason 파라미터 추가 feat: 고객센터 Mock → API 연동 완료 - shared/actions.ts: 공통 게시글 API 액션 추가 - shared/types.ts: 공통 타입 정의 - InquiryList: Mock → API 연동, transform 함수 추가 - FAQList: Mock → API 연동, transform 함수 추가 - 상세 페이지: API 연동 (notices, events, inquiries) - 각 types.ts: transformPost 함수 추가 fix: 고객센터 board_code 불일치 수정 - 공지사항: notice → notices - 이벤트: event → events - DB 시스템 게시판 코드와 일치하도록 수정 feat: 결재 문서 작성 파일 첨부 기능 구현 - UploadedFile 타입 추가 및 ProposalData/ExpenseReportData에 uploadedFiles 필드 추가 - uploadFiles() 함수 구현 (/api/v1/files/upload API 연동) - createApproval/updateApproval에서 파일 업로드 후 저장 처리 - ProposalForm/ExpenseReportForm에 첨부파일 UI 개선 - 기존 업로드 파일 표시 (파일 보기/삭제 기능) - 새 첨부 파일 목록 표시 및 삭제 기능 - DraftBox에서 결재자 부서/직책 정보 표시 - 문서 상세 모달에서 실제 API 데이터 표시 (목업 데이터 제거) - 수정 모드 상신 시 PATCH 메서드 사용 (405 에러 수정) feat: [mock-migration] Phase J-4 게시판 관리 Mock → API 연동 완료 - types.ts: BoardApiData, BoardExtraSettings API 타입 추가 - actions.ts: Server Actions 생성 (CRUD, 변환 함수) - index.tsx: Mock 데이터 → API 호출로 전환 - [id]/page.tsx: 상세 페이지 API 연동 - [id]/edit/page.tsx: 수정 페이지 API 연동 - new/page.tsx: 등록 페이지 API 연동 주요 정책: - /boards/tenant 엔드포인트로 테넌트 게시판만 조회 - 수정 시 board_code 전송 안함 (코드 변경 불가) - extra_settings 내 target/target_name 저장 feat: 매입유형(purchase_type) 필드 저장 기능 추가 - actions.ts: API 응답/요청에 purchase_type 매핑 추가 - PurchaseDetail.tsx: 저장 시 purchaseType 포함하도록 수정 fix(salary): 직책/직급 매핑 수정 (사원관리 기준 통일) - transformApiToFrontend: position → job_title_label (직책), rank → rank (직급) - transformApiToDetail: 동일하게 수정 - 기존 잘못된 매핑: position_label(직위) → 직책, job_title_label(직책) → 직급 feat: [mock-migration] Phase M 잔여 Mock/TODO 제거 완료 - M-1: 매입 상세 모달 MOCK_ACCOUNTS, MOCK_VENDORS → API 연동 - M-2: 직원 관리 파일 업로드 API 연동 (uploadProfileImage) - M-4: 결재 문서 생성 MOCK_EMPLOYEES 제거 → getEmployees API - M-5: 결재함/기안함 console.log 제거 → 승인/반려 API 연동 - M-6: 구독 관리 TODO 제거 → requestDataExport, cancelSubscription - M-7: 계정 정보 TODO 제거 → withdrawAccount, suspendTenant docs: 휴가관리 사용현황 동기화 수정 작업 기록 - 2025-12-26 휴가 사용현황 동기화 수정 내용 추가 - fetchUsageData 호출 추가, 부여일수 계산 수정 문서화 feat: Phase G 생산관리/품질검사 Mock → API 연동 완료 G-1 작업지시관리: - WorkOrderList: getWorkOrders, getWorkOrderStats API - WorkOrderDetail: getWorkOrderById API - WorkOrderCreate: createWorkOrder API - SalesOrderSelectModal: getSalesOrdersForWorkOrder API G-2 작업실적관리: - WorkResultList: getWorkResults, getWorkResultStats API G-3 생산대시보드: - actions.ts 생성, getDashboardData API G-4 작업자화면: - actions.ts 생성 - getMyWorkOrders, completeWorkOrder API - MaterialInputModal: getMaterialsForWorkOrder, registerMaterialInput API - ProcessDetailSection: getProcessSteps, requestInspection API G-5 품질검사: - actions.ts 생성 - InspectionList: getInspections, getInspectionStats API - InspectionDetail: getInspectionById, updateInspection API - InspectionCreate: createInspection API fix: [vacation] 휴가 사용현황 동기화 및 부여일수 계산 수정 - 승인 후 fetchUsageData() 호출 추가로 사용현황 즉시 반영 - baseVacation: 동적 totalDays → 고정 '15일' (기본 연차) - grantedVacation: 하드코딩 '0일' → Math.max(0, totalDays-15) 계산 - useCallback dependencies에 fetchUsageData 추가 feat: Phase I Excel/PDF 다운로드 API 연동 - ReceivablesStatus: 채권현황 엑셀 다운로드 API 연동 - VendorLedger: 거래처원장 목록 엑셀, 상세 PDF 다운로드 API 연동 - DailyReport: 일일일보 엑셀 다운로드 API 연동 - Blob 다운로드 패턴 및 toast 알림 적용 feat: L-2 견적 관리 Mock → API 연동 ## 변경사항 - SAMPLE_QUOTES Mock 데이터 제거 - Server Actions 생성 (CRUD + 특수 기능 14개) - QuoteManagementClient 분리 (SSR/CSR 패턴) - Quote 타입 및 변환 함수 정의 ## 추가된 API 연동 - 목록/상세/등록/수정/삭제/일괄삭제 - 최종확정/확정취소/수주전환 - PDF 생성/이메일/카카오 발송 - 견적번호 미리보기/요약 통계 feat: 공정관리 페이지 및 컴포넌트 추가 - 공정관리 목록/상세/등록/수정 페이지 구현 - ProcessListClient, ProcessDetail, ProcessForm 컴포넌트 추가 - ProcessWorkLogPreviewModal, RuleModal 추가 - MobileCard 공통 컴포넌트 추가 - WorkLogModal.tsx 개선 - .gitignore 업데이트 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com> (cherry picked from commit f0c0de2ecd89e2702cd41a6e73805e948a910ecb) chore: React 공통 컴포넌트 업데이트 - VacationManagement: API 연동 개선 - WorkOrders: 작업자 선택 모달 개선 - TypeScript 빌드 설정 업데이트 feat: I-8 휴가 정책 관리 API 연동 - actions.ts: 휴가 정책 CRUD Server Actions - LeavePolicyManagement 컴포넌트 API 연동 feat: I-7 종합분석 API 연동 - actions.ts: 종합분석 조회 Server Actions - ComprehensiveAnalysis 컴포넌트 API 연동 feat: I-6 일일 생산현황 API 연동 - actions.ts: 일일 리포트 조회 Server Actions - DailyReport 컴포넌트 API 연동 feat: I-5 미수금 현황 API 연동 - actions.ts: 미수금 조회 Server Actions - ReceivablesStatus 컴포넌트 API 연동 feat: I-4 거래통장 조회 API 연동 - actions.ts: 은행 거래내역 조회 Server Actions - BankTransactionInquiry 컴포넌트 API 연동 feat: I-3 법인카드 사용내역 API 연동 - actions.ts: 카드 거래내역 조회 Server Actions - CardTransactionInquiry 컴포넌트 API 연동 feat: I-2 거래처 원장 API 연동 - actions.ts: 거래처 원장 조회 Server Actions - VendorLedger 컴포넌트 API 연동 - VendorLedgerDetail 상세 조회 연동 feat: H-3 출하 관리 API 연동 - actions.ts: Server Actions (CRUD, 상태 변경) - ShipmentList: 출하 목록 API 연동 - ShipmentCreate: 출하 등록 API 연동 - ShipmentEdit: 출하 수정 API 연동 - ShipmentDetail: 출하 상세 API 연동 feat: G-2 작업실적 관리 API 연동 - types.ts API 타입 추가 (WorkResultApi, WorkResultStatsApi 등) - transformApiToFrontend/transformFrontendToApi 변환 함수 추가 - actions.ts 서버 액션 생성 (8개 함수) - index.ts 액션 exports 추가 Server Actions: - getWorkResults: 목록 조회 (페이징, 필터링) - getWorkResultStats: 통계 조회 - getWorkResultById: 상세 조회 - createWorkResult: 등록 - updateWorkResult: 수정 - deleteWorkResult: 삭제 - toggleInspection: 검사 상태 토글 - togglePackaging: 포장 상태 토글 fix: StockStatusList Hook 순서 오류 수정 - 조건부 return 전에 모든 Hooks(useCallback, useMemo) 선언 - React Rules of Hooks 준수 feat: H-2 재고현황 Mock → API 연동 완료 - StockStatusDetail.tsx: 상세 조회 API 연동 - StockStatusList.tsx: 목록 조회 API 연동 (이전 세션) - actions.ts: 재고 현황 Server Actions 구현 feat: H-1 입고 관리 Mock → API 연동 완료 - ReceivingDetail.tsx: 상세 조회 및 입고처리 API 연동 - ReceivingProcessDialog.tsx: 폼 데이터 API 전달 구조로 변경 - InspectionCreate.tsx: 검사 대상 목록 API 조회 적용 - ReceivingList.tsx: 미사용 타입 import 정리 feat: G-1 작업지시 관리 API 연동 - actions.ts 서버 액션 11개 함수 구현 - types.ts API 타입 및 변환 함수 추가 - index.ts 액션 함수 export 추가 Server Actions: - getWorkOrders (목록) - getWorkOrderStats (통계) - getWorkOrderById (상세) - createWorkOrder (등록) - updateWorkOrder (수정) - deleteWorkOrder (삭제) - updateWorkOrderStatus (상태변경) - assignWorkOrder (담당자배정) - toggleBendingField (벤딩토글) - addWorkOrderIssue (이슈등록) - resolveWorkOrderIssue (이슈해결) feat: I-1 미지급비용 관리 React 연동 - Server Actions 패턴으로 API 연동 구현 (actions.ts) - Mock 데이터 제거, props 기반 데이터 주입 - Server Component로 초기 데이터 로딩 - 삭제/지급일 변경 등 CRUD 액션 연동 feat: HR 모듈 API 연동 완료 및 휴가관리 버그 수정 ## 휴가관리 (VacationManagement) - 휴가 부여 API 연동: createLeaveGrant 호출 추가 - 휴가 신청 시 선택된 사원 userId 전달 (잔여휴가 오류 수정) - LeaveType 타입 분리 (VacationType과 구분) - VacationGrantDialog에 부여일(grantDate) 필드 추가 ## 근태관리 (AttendanceManagement) - actions.ts 추가: API 호출 함수 분리 - 타입 정의 확장 및 개선 ## 기타 개선 - CardManagement, SalaryManagement: actions 개선 - DocumentCreate: 전자결재 actions 및 index 개선 - GoogleMap: 지도 컴포넌트 개선 feat: Phase E 인사관리 Mock → API 마이그레이션 - E-1 법인카드 관리 API 연동 - actions.ts 생성 (getCards, createCard, updateCard, deleteCard, toggleCardStatus) - CardForm, 페이지 컴포넌트 API 연동 - E-2 급여 관리 API 연동 - actions.ts 생성 (getSalaries, getSalary, updateSalaryStatus, bulkUpdateSalaryStatus) - 급여 목록 컴포넌트 API 연동 - 결재 시스템 actions.ts 추가 (ApprovalBox, DraftBox, ReferenceBox, DocumentCreate) - DepositManagement actions.ts 페이지네이션 응답 구조 수정 - 부서 관리, 휴가 관리 actions.ts 개선 - API URL에 /api prefix 추가 회계 및 설정 모듈 리팩토링: actions 분리, 타입 정의 개선 feat: 휴가 부여현황 Mock 데이터 제거 및 API 연동 - getLeaveGrants, createLeaveGrant, deleteLeaveGrant API 함수 추가 - LeaveGrantType, LeaveGrantRecord, CreateLeaveGrantRequest 타입 추가 - generateGrantData Mock 함수 제거 - fetchGrantData로 실제 API 호출 - grantData 상태를 API 데이터로 갱신 feat: 휴가 사용현황 Mock 데이터 제거 및 API 연동 - getLeaveBalances() API 함수 추가 - LeaveBalanceRecord, GetLeaveBalancesParams 타입 정의 - generateUsageData() Mock 함수 제거 - fetchUsageData()로 실제 API 호출 - hireDate 날짜 포맷팅 예외 처리 추가 feat: C-4 부서 관리 Mock → API 연동 - actions.ts 생성 (getDepartmentTree, createDepartment, updateDepartment, deleteDepartment, deleteDepartmentsMany) - index.tsx Mock 데이터 제거 및 API 연동 - 트리 구조 CRUD 완전 연동 ⚠️ .env.local에 API_URL=https://api.sam.kr/api 설정 필요 (Server Actions용) feat: C-3 휴가 관리 Mock → API 연동 - actions.ts 생성: getLeaves, createLeave, approveLeave, rejectLeave, cancelLeave 등 - index.tsx 수정: 신청현황 탭 Mock 데이터 → API 호출 전환 - 일괄 승인/반려 API 연동 (approveLeavesMany, rejectLeavesMany) - 휴가 신청 다이얼로그 createLeave API 연동 feat: C-2 근태 관리 Mock → API 연동 - actions.ts 생성 (checkIn/checkOut/getTodayAttendance) - GoogleMap.tsx userLocation 콜백 추가 - page.tsx Mock console.log 제거 + API 연동 - 처리중 상태 및 버튼 텍스트 추가 feat: C-1 직원 관리 Mock → API 연동 - actions.ts 생성 (CRUD + 통계 + 일괄삭제 Server Actions) - utils.ts 생성 (API ↔ Frontend 데이터 변환) - index.tsx Mock 데이터 제거, API 연동 - [id]/page.tsx 상세 페이지 API 연동 - [id]/edit/page.tsx 수정 페이지 API 연동 - new/page.tsx 등록 페이지 API 연동 API Endpoints: - GET/POST /api/v1/employees - GET/PATCH/DELETE /api/v1/employees/{id} - POST /api/v1/employees/bulk-delete - GET /api/v1/employees/stats feat: Daum 우편번호 서비스 연동 및 악성채권 UI 개선 - useDaumPostcode 공통 훅 생성 (Daum Postcode API 연동) - 우편번호 찾기 기능 적용: 악성채권, 거래처, 직원, 회사정보, 주문등록 - 악성채권 페이지 토글 순서 변경 (라벨 → 토글) - 악성채권 토글 기능 수정 (매출/매입 → 등록/해제) 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com> (cherry picked from commit 41ef0bdd866a4c522aa6bc813906232e0e79ba09) feat: A-2 팝업 관리 Mock → API 연동 - 상세 조회 페이지: MOCK_POPUPS → getPopupById() API - 수정 페이지: MOCK_POPUPS → getPopupById() API + 로딩 상태 - PopupForm: console.log → createPopup/updatePopup Server Actions - 삭제 기능: deletePopup() API 연동 + 로딩 상태 - 데이터 변환 유틸리티 추가 (API ↔ Frontend) feat: A-1 악성채권 관리 Mock → API 연동 완료 - 상세 페이지 서버 컴포넌트 전환 ([id]/page.tsx, [id]/edit/page.tsx) - BadDebtDetail.tsx: CRUD API 연동 (createBadDebt, updateBadDebt, deleteBadDebt) - actions.ts: 메모 API 추가 (addBadDebtMemo, deleteBadDebtMemo) feat: 매입 관리 Mock → API 전환 및 세금계산서 토글 연동 - index.tsx: Mock 데이터 제거, API 데이터 로딩으로 전환 - actions.ts: getPurchases(), togglePurchaseTaxInvoice() 서버 액션 추가 - vendorOptions 빈 문자열 필터링 (Select.Item 에러 수정) feat: 매출 상세 페이지 API 연동 - 목데이터(MOCK_VENDORS, fetchSalesDetail) 제거 - getSaleById, createSale, updateSale, deleteSale API 연동 - getClients로 거래처 목록 로드 - 상태 관리 개선 (clients, isLoading, isSaving) fix: Mock 데이터를 실제 API 연동으로 복원 - 팝업 관리, 결제 내역, 구독 관리, 알림 설정 API 연동 - 입금/출금/거래처 관리 API 연동 - page.tsx를 서버 컴포넌트로 변환 - actions.ts 서버 액션 추가
2025-12-24 14:04:36 +09:00
# 세션 기반 인증 전환 가이드 - 백엔드 (PHP/Laravel)
## 📋 개요
**목적**: JWT 토큰 기반 → 세션 기반 인증으로 전환하여 보안 강화
**주요 보안 개선 사항**:
- ✅ 로그아웃 시 즉시 세션 무효화 (토큰 만료 대기 불필요)
- ✅ 세션 하이재킹 실시간 감지 (IP/User-Agent 추적)
- ✅ 관리자의 강제 로그아웃 기능
- ✅ 1계정 1세션 강제 (동시 로그인 제한)
- ✅ 의심스러운 활동 자동 차단
---
## 🔧 1단계: 환경 설정
### 1.1 세션 드라이버 설정
```bash
# .env
SESSION_DRIVER=redis
SESSION_LIFETIME=120 # 2시간 (분 단위)
SESSION_SECURE_COOKIE=true
SESSION_DOMAIN=.yourdomain.com # 서브도메인 공유 시
REDIS_HOST=127.0.0.1
REDIS_PASSWORD=null
REDIS_PORT=6379
```
### 1.2 세션 설정 파일
```php
// config/session.php
return [
'driver' => env('SESSION_DRIVER', 'redis'),
'lifetime' => env('SESSION_LIFETIME', 120),
'expire_on_close' => false,
'encrypt' => true, // 🔒 세션 데이터 암호화
'http_only' => true, // 🔒 XSS 방지
'same_site' => 'strict', // 🔒 CSRF 방지
'secure' => env('SESSION_SECURE_COOKIE', true), // 🔒 HTTPS only
// 세션 가비지 컬렉션
'lottery' => [2, 100],
// 세션 쿠키 이름
'cookie' => env(
'SESSION_COOKIE',
Str::slug(env('APP_NAME', 'laravel'), '_').'_session'
),
];
```
---
## 🔐 2단계: 인증 가드 변경
### 2.1 Auth 설정
```php
// config/auth.php
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'api' => [
'driver' => 'session', // Sanctum → Session 변경
'provider' => 'users',
],
],
```
---
## 🚪 3단계: 로그인 컨트롤러 수정
### 3.1 기존 코드 (토큰 기반)
```php
// ❌ 제거할 코드
public function login(Request $request)
{
// JWT 토큰 발급
$token = auth()->attempt($credentials);
return response()->json([
'access_token' => $token,
'refresh_token' => $refreshToken,
'token_type' => 'bearer',
'expires_in' => 7200,
]);
}
```
### 3.2 새로운 코드 (세션 기반)
```php
// ✅ 새로운 로그인 로직
namespace App\Http\Controllers\Auth;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\DB;
class LoginController extends Controller
{
public function login(Request $request)
{
// 입력 검증
$credentials = $request->validate([
'user_id' => 'required|string',
'user_pwd' => 'required|string',
]);
// 🔒 세션 기반 인증
if (Auth::attempt([
'user_id' => $credentials['user_id'],
'password' => $credentials['user_pwd']
], $request->filled('remember'))) {
// 🔒 세션 재생성 (세션 고정 공격 방지)
$request->session()->regenerate();
// 🔒 보안 정보 저장 (하이재킹 감지용)
session([
'ip_address' => $request->ip(),
'user_agent' => $request->userAgent(),
'login_at' => now()->toDateTimeString(),
]);
// 🔒 동시 로그인 제한 (옵션)
$this->limitConcurrentSessions(Auth::user());
// 사용자 정보 반환 (토큰 없음!)
return response()->json([
'message' => 'Login successful',
'user' => [
'id' => Auth::user()->id,
'user_id' => Auth::user()->user_id,
'name' => Auth::user()->name,
'email' => Auth::user()->email,
'phone' => Auth::user()->phone,
],
'tenant' => Auth::user()->tenant,
'menus' => Auth::user()->menus,
'roles' => Auth::user()->roles,
]);
}
// 인증 실패
return response()->json([
'error' => 'Invalid credentials'
], 401);
}
/**
* 🔒 동시 로그인 제한 (1계정 1세션)
*/
protected function limitConcurrentSessions($user)
{
// 현재 세션 ID 제외하고 모든 세션 삭제
DB::table('sessions')
->where('user_id', $user->id)
->where('id', '!=', session()->getId())
->delete();
}
}
```
---
## 🚪 4단계: 로그아웃 컨트롤러 수정
```php
// app/Http/Controllers/Auth/LogoutController.php
namespace App\Http\Controllers\Auth;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
class LogoutController extends Controller
{
public function logout(Request $request)
{
// 🔒 세션 무효화
Auth::logout();
// 🔒 세션 데이터 삭제
$request->session()->invalidate();
// 🔒 CSRF 토큰 재생성
$request->session()->regenerateToken();
return response()->json([
'message' => 'Logged out successfully'
]);
}
}
```
---
## 🛡️ 5단계: 세션 하이재킹 감지 미들웨어
### 5.1 미들웨어 생성
```bash
php artisan make:middleware DetectSessionHijacking
```
### 5.2 미들웨어 코드
```php
// app/Http/Middleware/DetectSessionHijacking.php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\Log;
class DetectSessionHijacking
{
/**
* 세션 하이재킹 감지 및 차단
*/
public function handle(Request $request, Closure $next)
{
if (Auth::check()) {
$user = Auth::user();
// 🔒 IP 주소 변경 감지
if (session('ip_address') && session('ip_address') !== $request->ip()) {
Log::warning('Session hijacking detected: IP changed', [
'user_id' => $user->id,
'old_ip' => session('ip_address'),
'new_ip' => $request->ip(),
]);
// 세션 파괴 및 로그아웃
Auth::logout();
$request->session()->invalidate();
$request->session()->regenerateToken();
return response()->json([
'error' => 'Session security violation detected',
'code' => 'SESSION_HIJACKED',
'message' => 'Your session has been terminated for security reasons.'
], 401);
}
// 🔒 User-Agent 변경 감지
if (session('user_agent') && session('user_agent') !== $request->userAgent()) {
Log::warning('Session hijacking detected: User-Agent changed', [
'user_id' => $user->id,
'old_ua' => session('user_agent'),
'new_ua' => $request->userAgent(),
]);
Auth::logout();
$request->session()->invalidate();
$request->session()->regenerateToken();
return response()->json([
'error' => 'Session security violation detected',
'code' => 'SESSION_HIJACKED'
], 401);
}
}
return $next($request);
}
}
```
### 5.3 미들웨어 등록
```php
// app/Http/Kernel.php
protected $middlewareGroups = [
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
\App\Http\Middleware\DetectSessionHijacking::class, // ✅ 추가
],
];
```
---
## 🌐 6단계: CORS 설정 (중요!)
### 6.1 CORS 설정 파일
```php
// config/cors.php
return [
'paths' => ['api/*', 'sanctum/csrf-cookie'],
'allowed_methods' => ['*'],
'allowed_origins' => [
'http://localhost:3000', // 개발 환경
'https://yourdomain.com', // 프로덕션
'https://app.yourdomain.com', // 프로덕션 앱
],
'allowed_origins_patterns' => [],
'allowed_headers' => ['*'],
'exposed_headers' => [],
'max_age' => 0,
'supports_credentials' => true, // ✅ 세션 쿠키 전송 허용 (필수!)
];
```
---
## 🗑️ 7단계: 토큰 관련 코드 제거
### 7.1 삭제할 엔드포인트
```php
// routes/api.php
// ❌ 삭제: 토큰 갱신 엔드포인트 (세션은 자동 갱신)
// Route::post('/refresh', [TokenController::class, 'refresh']);
```
### 7.2 삭제할 컨트롤러
```bash
# ❌ 삭제 또는 주석 처리
# app/Http/Controllers/Auth/TokenRefreshController.php
```
---
## ✅ 8단계: 세션 확인 엔드포인트 추가
```php
// routes/api.php
Route::get('/auth/check', [AuthController::class, 'check']);
```
```php
// app/Http/Controllers/Auth/AuthController.php
public function check(Request $request)
{
if (Auth::check()) {
return response()->json([
'authenticated' => true,
'user' => [
'id' => Auth::user()->id,
'name' => Auth::user()->name,
'email' => Auth::user()->email,
]
]);
}
return response()->json([
'authenticated' => false
]);
}
```
---
## 🧪 9단계: 테스트
### 9.1 로그인 테스트
```bash
curl -X POST http://localhost:8000/api/v1/login \
-H "Content-Type: application/json" \
-H "X-API-KEY: your-api-key" \
-d '{"user_id": "test", "user_pwd": "password"}' \
-c cookies.txt # 쿠키 저장
# 응답:
# {
# "message": "Login successful",
# "user": {...},
# "tenant": {...}
# }
#
# Set-Cookie: laravel_session=abc123...
```
### 9.2 세션 확인 테스트
```bash
curl -X GET http://localhost:8000/api/v1/auth/check \
-H "X-API-KEY: your-api-key" \
-b cookies.txt # 저장된 쿠키 사용
# 응답:
# {
# "authenticated": true,
# "user": {...}
# }
```
### 9.3 로그아웃 테스트
```bash
curl -X POST http://localhost:8000/api/v1/logout \
-H "X-API-KEY: your-api-key" \
-b cookies.txt
# 응답:
# {
# "message": "Logged out successfully"
# }
```
### 9.4 세션 하이재킹 감지 테스트
```bash
# 1. 로그인 (IP: A)
curl -X POST http://localhost:8000/api/v1/login \
-H "X-API-KEY: your-api-key" \
-d '{"user_id": "test", "user_pwd": "password"}' \
-c cookies.txt
# 2. 다른 IP에서 같은 세션 ID 사용 시도 (IP: B)
# → 자동 차단되어야 함
```
---
## 🔒 10단계: 추가 보안 강화 (옵션)
### 10.1 Rate Limiting (무차별 대입 공격 방지)
```php
// routes/api.php
Route::middleware(['throttle:5,1'])->group(function () {
Route::post('/login', [LoginController::class, 'login']);
});
// 5번 시도 후 1분 대기
```
### 10.2 세션 활동 로그
```php
// app/Models/SessionLog.php 생성
Schema::create('session_logs', function (Blueprint $table) {
$table->id();
$table->unsignedBigInteger('user_id');
$table->string('ip_address');
$table->text('user_agent');
$table->timestamp('login_at');
$table->timestamp('logout_at')->nullable();
$table->timestamps();
});
```
```php
// 로그인 시 기록
SessionLog::create([
'user_id' => Auth::id(),
'ip_address' => $request->ip(),
'user_agent' => $request->userAgent(),
'login_at' => now(),
]);
```
### 10.3 관리자 강제 로그아웃 기능
```php
// app/Http/Controllers/Admin/SessionController.php
public function forceLogout(Request $request, $userId)
{
// 특정 사용자의 모든 세션 삭제
DB::table('sessions')
->where('user_id', $userId)
->delete();
return response()->json([
'message' => 'User sessions terminated'
]);
}
```
---
## 📊 마이그레이션 체크리스트
### 필수 작업
- [ ] `.env` 파일 세션 드라이버 설정
- [ ] `config/session.php` 보안 설정 적용
- [ ] `config/auth.php` 가드를 세션으로 변경
- [ ] 로그인 컨트롤러 수정 (토큰 제거, 세션 사용)
- [ ] 로그아웃 컨트롤러 수정 (세션 무효화)
- [ ] `config/cors.php`에서 `supports_credentials: true` 설정
- [ ] 세션 하이재킹 감지 미들웨어 추가
- [ ] `/api/v1/refresh` 엔드포인트 삭제
- [ ] `/api/v1/auth/check` 엔드포인트 추가
### 권장 작업
- [ ] Rate Limiting 적용
- [ ] 세션 활동 로그 테이블 생성
- [ ] 관리자 강제 로그아웃 기능 구현
- [ ] 동시 로그인 제한 적용
### 테스트
- [ ] 로그인 → 세션 생성 확인
- [ ] 로그아웃 → 세션 파괴 확인
- [ ] 세션 하이재킹 감지 테스트
- [ ] CORS 크로스 도메인 테스트
- [ ] 동시 로그인 제한 테스트
---
## 🚨 주의사항
### 1. 세션 저장소 (Redis) 필수
```bash
# Redis 설치 확인
redis-cli ping
# 응답: PONG
# Redis 접속 테스트
redis-cli
> KEYS *session*
```
### 2. CORS 설정 필수
- `supports_credentials: true` 반드시 설정
- 프론트엔드 도메인을 `allowed_origins`에 추가
- `*` (와일드카드) 사용 불가 (credentials와 충돌)
### 3. HTTPS 필수 (프로덕션)
```bash
# .env
SESSION_SECURE_COOKIE=true # HTTPS만 쿠키 전송
```
### 4. 세션 쿠키 이름 확인
```php
// config/session.php
'cookie' => 'laravel_session', // 프론트엔드에서 이 이름 사용
```
---
## 📞 프론트엔드 팀 공유 사항
### API 변경 사항
**로그인 응답 변경**:
```json
// ❌ 이전 (토큰 반환)
{
"access_token": "eyJhbG...",
"refresh_token": "eyJhbG...",
"token_type": "bearer",
"expires_in": 7200
}
// ✅ 이후 (토큰 없음, 세션 쿠키만)
{
"message": "Login successful",
"user": {...},
"tenant": {...}
}
// Set-Cookie: laravel_session=abc123...
```
**필수 요구사항**:
- 모든 API 호출에 `credentials: 'include'` 추가
- 세션 쿠키를 자동으로 포함하여 전송
- `/api/auth/refresh` 엔드포인트 사용 중단
---
## 🎯 완료 후 확인사항
1. ✅ 로그인 시 세션 쿠키 생성
2. ✅ 로그아웃 시 즉시 접근 차단
3. ✅ IP 변경 시 자동 차단
4. ✅ User-Agent 변경 시 자동 차단
5. ✅ 관리자 강제 로그아웃 작동
6. ✅ Redis에 세션 데이터 저장 확인
---
## 📚 참고 자료
- [Laravel Session 공식 문서](https://laravel.com/docs/session)
- [Laravel Authentication 공식 문서](https://laravel.com/docs/authentication)
- [Redis Session Driver](https://laravel.com/docs/redis)
---
**작성일**: 2025-11-12
**작성자**: Claude Code
**버전**: 1.0
Reference in New Issue Copy Permalink