hskwon
8af838ab55
- 2025-12-28 고객센터 시스템 게시판 API 연동 수정 기록 - 날짜 범위 필터 초기값 변경 내용 문서화 fix: 고객센터 목록 날짜 범위 초기값 변경 - EventList, InquiryList, NoticeList 날짜 범위 초기값 빈 문자열로 변경 - 페이지 진입 시 전체 데이터 조회 가능하도록 수정 feat: 1:1 문의 댓글 기능 API 연동 - 댓글 CRUD API 함수 구현 (shared/actions.ts) - getComments, createComment, updateComment, deleteComment - CommentApiData 타입 및 transformApiToComment 변환 함수 추가 - InquiryDetail 컴포넌트 callback props 방식으로 변경 - user.id localStorage 저장으로 본인 글 수정/삭제 버튼 표시 - page.tsx에서 댓글 API 호출 및 상태 관리 feat(WEB): 게시판 시스템 Mock → API 연동 (Phase J) - BoardList: getPosts, getMyPosts API 연동 - BoardDetail: getPost API 연동, 새 라우트 구조 적용 - BoardForm: getBoards, createPost, updatePost API 연동 - 라우트 변경: /board/[id] → /board/[boardCode]/[postId] - Toast 라이브러리 sonner로 통일 - MOCK_BOARDS 완전 제거, types.ts 정리 chore: 작업 현황 업데이트 refactor: BoardForm 부서 Mock 데이터 분리 - types.ts에서 MOCK_DEPARTMENTS 제거 - BoardForm 내부에 임시 Mock 데이터 정의 - TODO: API에서 부서 목록 연동 필요 feat: 종합현황 반려 사유 입력 Dialog 추가 - 반려 시 사유 입력 Dialog 표시 - 사유 미입력 시 toast 에러 메시지 - rejectIssue 함수에 reason 파라미터 추가 feat: 고객센터 Mock → API 연동 완료 - shared/actions.ts: 공통 게시글 API 액션 추가 - shared/types.ts: 공통 타입 정의 - InquiryList: Mock → API 연동, transform 함수 추가 - FAQList: Mock → API 연동, transform 함수 추가 - 상세 페이지: API 연동 (notices, events, inquiries) - 각 types.ts: transformPost 함수 추가 fix: 고객센터 board_code 불일치 수정 - 공지사항: notice → notices - 이벤트: event → events - DB 시스템 게시판 코드와 일치하도록 수정 feat: 결재 문서 작성 파일 첨부 기능 구현 - UploadedFile 타입 추가 및 ProposalData/ExpenseReportData에 uploadedFiles 필드 추가 - uploadFiles() 함수 구현 (/api/v1/files/upload API 연동) - createApproval/updateApproval에서 파일 업로드 후 저장 처리 - ProposalForm/ExpenseReportForm에 첨부파일 UI 개선 - 기존 업로드 파일 표시 (파일 보기/삭제 기능) - 새 첨부 파일 목록 표시 및 삭제 기능 - DraftBox에서 결재자 부서/직책 정보 표시 - 문서 상세 모달에서 실제 API 데이터 표시 (목업 데이터 제거) - 수정 모드 상신 시 PATCH 메서드 사용 (405 에러 수정) feat: [mock-migration] Phase J-4 게시판 관리 Mock → API 연동 완료 - types.ts: BoardApiData, BoardExtraSettings API 타입 추가 - actions.ts: Server Actions 생성 (CRUD, 변환 함수) - index.tsx: Mock 데이터 → API 호출로 전환 - [id]/page.tsx: 상세 페이지 API 연동 - [id]/edit/page.tsx: 수정 페이지 API 연동 - new/page.tsx: 등록 페이지 API 연동 주요 정책: - /boards/tenant 엔드포인트로 테넌트 게시판만 조회 - 수정 시 board_code 전송 안함 (코드 변경 불가) - extra_settings 내 target/target_name 저장 feat: 매입유형(purchase_type) 필드 저장 기능 추가 - actions.ts: API 응답/요청에 purchase_type 매핑 추가 - PurchaseDetail.tsx: 저장 시 purchaseType 포함하도록 수정 fix(salary): 직책/직급 매핑 수정 (사원관리 기준 통일) - transformApiToFrontend: position → job_title_label (직책), rank → rank (직급) - transformApiToDetail: 동일하게 수정 - 기존 잘못된 매핑: position_label(직위) → 직책, job_title_label(직책) → 직급 feat: [mock-migration] Phase M 잔여 Mock/TODO 제거 완료 - M-1: 매입 상세 모달 MOCK_ACCOUNTS, MOCK_VENDORS → API 연동 - M-2: 직원 관리 파일 업로드 API 연동 (uploadProfileImage) - M-4: 결재 문서 생성 MOCK_EMPLOYEES 제거 → getEmployees API - M-5: 결재함/기안함 console.log 제거 → 승인/반려 API 연동 - M-6: 구독 관리 TODO 제거 → requestDataExport, cancelSubscription - M-7: 계정 정보 TODO 제거 → withdrawAccount, suspendTenant docs: 휴가관리 사용현황 동기화 수정 작업 기록 - 2025-12-26 휴가 사용현황 동기화 수정 내용 추가 - fetchUsageData 호출 추가, 부여일수 계산 수정 문서화 feat: Phase G 생산관리/품질검사 Mock → API 연동 완료 G-1 작업지시관리: - WorkOrderList: getWorkOrders, getWorkOrderStats API - WorkOrderDetail: getWorkOrderById API - WorkOrderCreate: createWorkOrder API - SalesOrderSelectModal: getSalesOrdersForWorkOrder API G-2 작업실적관리: - WorkResultList: getWorkResults, getWorkResultStats API G-3 생산대시보드: - actions.ts 생성, getDashboardData API G-4 작업자화면: - actions.ts 생성 - getMyWorkOrders, completeWorkOrder API - MaterialInputModal: getMaterialsForWorkOrder, registerMaterialInput API - ProcessDetailSection: getProcessSteps, requestInspection API G-5 품질검사: - actions.ts 생성 - InspectionList: getInspections, getInspectionStats API - InspectionDetail: getInspectionById, updateInspection API - InspectionCreate: createInspection API fix: [vacation] 휴가 사용현황 동기화 및 부여일수 계산 수정 - 승인 후 fetchUsageData() 호출 추가로 사용현황 즉시 반영 - baseVacation: 동적 totalDays → 고정 '15일' (기본 연차) - grantedVacation: 하드코딩 '0일' → Math.max(0, totalDays-15) 계산 - useCallback dependencies에 fetchUsageData 추가 feat: Phase I Excel/PDF 다운로드 API 연동 - ReceivablesStatus: 채권현황 엑셀 다운로드 API 연동 - VendorLedger: 거래처원장 목록 엑셀, 상세 PDF 다운로드 API 연동 - DailyReport: 일일일보 엑셀 다운로드 API 연동 - Blob 다운로드 패턴 및 toast 알림 적용 feat: L-2 견적 관리 Mock → API 연동 ## 변경사항 - SAMPLE_QUOTES Mock 데이터 제거 - Server Actions 생성 (CRUD + 특수 기능 14개) - QuoteManagementClient 분리 (SSR/CSR 패턴) - Quote 타입 및 변환 함수 정의 ## 추가된 API 연동 - 목록/상세/등록/수정/삭제/일괄삭제 - 최종확정/확정취소/수주전환 - PDF 생성/이메일/카카오 발송 - 견적번호 미리보기/요약 통계 feat: 공정관리 페이지 및 컴포넌트 추가 - 공정관리 목록/상세/등록/수정 페이지 구현 - ProcessListClient, ProcessDetail, ProcessForm 컴포넌트 추가 - ProcessWorkLogPreviewModal, RuleModal 추가 - MobileCard 공통 컴포넌트 추가 - WorkLogModal.tsx 개선 - .gitignore 업데이트 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com> (cherry picked from commitf0c0de2ecd) chore: React 공통 컴포넌트 업데이트 - VacationManagement: API 연동 개선 - WorkOrders: 작업자 선택 모달 개선 - TypeScript 빌드 설정 업데이트 feat: I-8 휴가 정책 관리 API 연동 - actions.ts: 휴가 정책 CRUD Server Actions - LeavePolicyManagement 컴포넌트 API 연동 feat: I-7 종합분석 API 연동 - actions.ts: 종합분석 조회 Server Actions - ComprehensiveAnalysis 컴포넌트 API 연동 feat: I-6 일일 생산현황 API 연동 - actions.ts: 일일 리포트 조회 Server Actions - DailyReport 컴포넌트 API 연동 feat: I-5 미수금 현황 API 연동 - actions.ts: 미수금 조회 Server Actions - ReceivablesStatus 컴포넌트 API 연동 feat: I-4 거래통장 조회 API 연동 - actions.ts: 은행 거래내역 조회 Server Actions - BankTransactionInquiry 컴포넌트 API 연동 feat: I-3 법인카드 사용내역 API 연동 - actions.ts: 카드 거래내역 조회 Server Actions - CardTransactionInquiry 컴포넌트 API 연동 feat: I-2 거래처 원장 API 연동 - actions.ts: 거래처 원장 조회 Server Actions - VendorLedger 컴포넌트 API 연동 - VendorLedgerDetail 상세 조회 연동 feat: H-3 출하 관리 API 연동 - actions.ts: Server Actions (CRUD, 상태 변경) - ShipmentList: 출하 목록 API 연동 - ShipmentCreate: 출하 등록 API 연동 - ShipmentEdit: 출하 수정 API 연동 - ShipmentDetail: 출하 상세 API 연동 feat: G-2 작업실적 관리 API 연동 - types.ts API 타입 추가 (WorkResultApi, WorkResultStatsApi 등) - transformApiToFrontend/transformFrontendToApi 변환 함수 추가 - actions.ts 서버 액션 생성 (8개 함수) - index.ts 액션 exports 추가 Server Actions: - getWorkResults: 목록 조회 (페이징, 필터링) - getWorkResultStats: 통계 조회 - getWorkResultById: 상세 조회 - createWorkResult: 등록 - updateWorkResult: 수정 - deleteWorkResult: 삭제 - toggleInspection: 검사 상태 토글 - togglePackaging: 포장 상태 토글 fix: StockStatusList Hook 순서 오류 수정 - 조건부 return 전에 모든 Hooks(useCallback, useMemo) 선언 - React Rules of Hooks 준수 feat: H-2 재고현황 Mock → API 연동 완료 - StockStatusDetail.tsx: 상세 조회 API 연동 - StockStatusList.tsx: 목록 조회 API 연동 (이전 세션) - actions.ts: 재고 현황 Server Actions 구현 feat: H-1 입고 관리 Mock → API 연동 완료 - ReceivingDetail.tsx: 상세 조회 및 입고처리 API 연동 - ReceivingProcessDialog.tsx: 폼 데이터 API 전달 구조로 변경 - InspectionCreate.tsx: 검사 대상 목록 API 조회 적용 - ReceivingList.tsx: 미사용 타입 import 정리 feat: G-1 작업지시 관리 API 연동 - actions.ts 서버 액션 11개 함수 구현 - types.ts API 타입 및 변환 함수 추가 - index.ts 액션 함수 export 추가 Server Actions: - getWorkOrders (목록) - getWorkOrderStats (통계) - getWorkOrderById (상세) - createWorkOrder (등록) - updateWorkOrder (수정) - deleteWorkOrder (삭제) - updateWorkOrderStatus (상태변경) - assignWorkOrder (담당자배정) - toggleBendingField (벤딩토글) - addWorkOrderIssue (이슈등록) - resolveWorkOrderIssue (이슈해결) feat: I-1 미지급비용 관리 React 연동 - Server Actions 패턴으로 API 연동 구현 (actions.ts) - Mock 데이터 제거, props 기반 데이터 주입 - Server Component로 초기 데이터 로딩 - 삭제/지급일 변경 등 CRUD 액션 연동 feat: HR 모듈 API 연동 완료 및 휴가관리 버그 수정 ## 휴가관리 (VacationManagement) - 휴가 부여 API 연동: createLeaveGrant 호출 추가 - 휴가 신청 시 선택된 사원 userId 전달 (잔여휴가 오류 수정) - LeaveType 타입 분리 (VacationType과 구분) - VacationGrantDialog에 부여일(grantDate) 필드 추가 ## 근태관리 (AttendanceManagement) - actions.ts 추가: API 호출 함수 분리 - 타입 정의 확장 및 개선 ## 기타 개선 - CardManagement, SalaryManagement: actions 개선 - DocumentCreate: 전자결재 actions 및 index 개선 - GoogleMap: 지도 컴포넌트 개선 feat: Phase E 인사관리 Mock → API 마이그레이션 - E-1 법인카드 관리 API 연동 - actions.ts 생성 (getCards, createCard, updateCard, deleteCard, toggleCardStatus) - CardForm, 페이지 컴포넌트 API 연동 - E-2 급여 관리 API 연동 - actions.ts 생성 (getSalaries, getSalary, updateSalaryStatus, bulkUpdateSalaryStatus) - 급여 목록 컴포넌트 API 연동 - 결재 시스템 actions.ts 추가 (ApprovalBox, DraftBox, ReferenceBox, DocumentCreate) - DepositManagement actions.ts 페이지네이션 응답 구조 수정 - 부서 관리, 휴가 관리 actions.ts 개선 - API URL에 /api prefix 추가 회계 및 설정 모듈 리팩토링: actions 분리, 타입 정의 개선 feat: 휴가 부여현황 Mock 데이터 제거 및 API 연동 - getLeaveGrants, createLeaveGrant, deleteLeaveGrant API 함수 추가 - LeaveGrantType, LeaveGrantRecord, CreateLeaveGrantRequest 타입 추가 - generateGrantData Mock 함수 제거 - fetchGrantData로 실제 API 호출 - grantData 상태를 API 데이터로 갱신 feat: 휴가 사용현황 Mock 데이터 제거 및 API 연동 - getLeaveBalances() API 함수 추가 - LeaveBalanceRecord, GetLeaveBalancesParams 타입 정의 - generateUsageData() Mock 함수 제거 - fetchUsageData()로 실제 API 호출 - hireDate 날짜 포맷팅 예외 처리 추가 feat: C-4 부서 관리 Mock → API 연동 - actions.ts 생성 (getDepartmentTree, createDepartment, updateDepartment, deleteDepartment, deleteDepartmentsMany) - index.tsx Mock 데이터 제거 및 API 연동 - 트리 구조 CRUD 완전 연동 ⚠️ .env.local에 API_URL=https://api.sam.kr/api 설정 필요 (Server Actions용) feat: C-3 휴가 관리 Mock → API 연동 - actions.ts 생성: getLeaves, createLeave, approveLeave, rejectLeave, cancelLeave 등 - index.tsx 수정: 신청현황 탭 Mock 데이터 → API 호출 전환 - 일괄 승인/반려 API 연동 (approveLeavesMany, rejectLeavesMany) - 휴가 신청 다이얼로그 createLeave API 연동 feat: C-2 근태 관리 Mock → API 연동 - actions.ts 생성 (checkIn/checkOut/getTodayAttendance) - GoogleMap.tsx userLocation 콜백 추가 - page.tsx Mock console.log 제거 + API 연동 - 처리중 상태 및 버튼 텍스트 추가 feat: C-1 직원 관리 Mock → API 연동 - actions.ts 생성 (CRUD + 통계 + 일괄삭제 Server Actions) - utils.ts 생성 (API ↔ Frontend 데이터 변환) - index.tsx Mock 데이터 제거, API 연동 - [id]/page.tsx 상세 페이지 API 연동 - [id]/edit/page.tsx 수정 페이지 API 연동 - new/page.tsx 등록 페이지 API 연동 API Endpoints: - GET/POST /api/v1/employees - GET/PATCH/DELETE /api/v1/employees/{id} - POST /api/v1/employees/bulk-delete - GET /api/v1/employees/stats feat: Daum 우편번호 서비스 연동 및 악성채권 UI 개선 - useDaumPostcode 공통 훅 생성 (Daum Postcode API 연동) - 우편번호 찾기 기능 적용: 악성채권, 거래처, 직원, 회사정보, 주문등록 - 악성채권 페이지 토글 순서 변경 (라벨 → 토글) - 악성채권 토글 기능 수정 (매출/매입 → 등록/해제) 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com> (cherry picked from commit41ef0bdd86) feat: A-2 팝업 관리 Mock → API 연동 - 상세 조회 페이지: MOCK_POPUPS → getPopupById() API - 수정 페이지: MOCK_POPUPS → getPopupById() API + 로딩 상태 - PopupForm: console.log → createPopup/updatePopup Server Actions - 삭제 기능: deletePopup() API 연동 + 로딩 상태 - 데이터 변환 유틸리티 추가 (API ↔ Frontend) feat: A-1 악성채권 관리 Mock → API 연동 완료 - 상세 페이지 서버 컴포넌트 전환 ([id]/page.tsx, [id]/edit/page.tsx) - BadDebtDetail.tsx: CRUD API 연동 (createBadDebt, updateBadDebt, deleteBadDebt) - actions.ts: 메모 API 추가 (addBadDebtMemo, deleteBadDebtMemo) feat: 매입 관리 Mock → API 전환 및 세금계산서 토글 연동 - index.tsx: Mock 데이터 제거, API 데이터 로딩으로 전환 - actions.ts: getPurchases(), togglePurchaseTaxInvoice() 서버 액션 추가 - vendorOptions 빈 문자열 필터링 (Select.Item 에러 수정) feat: 매출 상세 페이지 API 연동 - 목데이터(MOCK_VENDORS, fetchSalesDetail) 제거 - getSaleById, createSale, updateSale, deleteSale API 연동 - getClients로 거래처 목록 로드 - 상태 관리 개선 (clients, isLoading, isSaving) fix: Mock 데이터를 실제 API 연동으로 복원 - 팝업 관리, 결제 내역, 구독 관리, 알림 설정 API 연동 - 입금/출금/거래처 관리 API 연동 - page.tsx를 서버 컴포넌트로 변환 - actions.ts 서버 액션 추가
26 KiB
26 KiB
인증 시스템 설계 (Laravel Sanctum + Next.js 15)
📋 아키텍처 개요
전체 구조
┌─────────────────────────────────────────────────────────────┐
│ Next.js Frontend │
├─────────────────────────────────────────────────────────────┤
│ Middleware (Server) │
│ ├─ Bot Detection (기존) │
│ ├─ Authentication Check (신규) │
│ │ ├─ Protected Routes 가드 │
│ │ ├─ 세션 쿠키 확인 │
│ │ └─ 인증 실패 → /login 리다이렉트 │
│ └─ i18n Routing (기존) │
├─────────────────────────────────────────────────────────────┤
│ API Client (lib/auth/sanctum.ts) │
│ ├─ CSRF 토큰 자동 처리 │
│ ├─ HTTP-only 쿠키 포함 (credentials: 'include') │
│ ├─ 에러 인터셉터 (401 → /login) │
│ └─ 재시도 로직 │
├─────────────────────────────────────────────────────────────┤
│ Server Auth Utils (lib/auth/server-auth.ts) │
│ ├─ getServerSession() - Server Components용 │
│ └─ 쿠키 기반 세션 검증 │
├─────────────────────────────────────────────────────────────┤
│ Auth Context (contexts/AuthContext.tsx) │
│ ├─ 클라이언트 사이드 상태 관리 │
│ ├─ 사용자 정보 캐싱 │
│ └─ login/logout/register 함수 │
└─────────────────────────────────────────────────────────────┘
↓ HTTP + Cookies
┌─────────────────────────────────────────────────────────────┐
│ Laravel Backend (PHP) │
├─────────────────────────────────────────────────────────────┤
│ Sanctum Middleware │
│ └─ 세션 기반 SPA 인증 (HTTP-only 쿠키) │
├─────────────────────────────────────────────────────────────┤
│ API Endpoints │
│ ├─ GET /sanctum/csrf-cookie (CSRF 토큰 발급) │
│ ├─ POST /api/login (로그인) │
│ ├─ POST /api/register (회원가입) │
│ ├─ POST /api/logout (로그아웃) │
│ ├─ GET /api/user (현재 사용자 정보) │
│ └─ POST /api/forgot-password (비밀번호 재설정) │
└─────────────────────────────────────────────────────────────┘
핵심 설계 원칙
-
가드 컴포넌트 없이 Middleware로 일괄 처리
- 모든 인증 체크를 middleware.ts에서 처리
- 라우트별로 가드 컴포넌트 불필요
- 중복 코드 제거
-
세션 기반 인증 (Sanctum SPA 모드)
- HTTP-only 쿠키로 세션 관리
- XSS 공격 방어
- CSRF 토큰으로 보안 강화
-
Server Components 우선
- 서버에서 인증 체크 및 데이터 fetch
- 클라이언트 JS 번들 크기 감소
- SEO 최적화
🔐 인증 플로우
1. 로그인 플로우
┌─────────┐ 1. /login 접속 ┌──────────────┐
│ Browser │ ───────────────────────────→│ Next.js │
└─────────┘ │ Server │
↓ └──────────────┘
│ 2. CSRF 토큰 요청
│ GET /sanctum/csrf-cookie
↓
┌─────────┐ ┌──────────────┐
│ Browser │ ←───────────────────────────│ Laravel │
└─────────┘ XSRF-TOKEN 쿠키 │ Backend │
↓ └──────────────┘
│ 3. 로그인 폼 제출
│ POST /api/login
│ { email, password }
│ Headers: X-XSRF-TOKEN
↓
┌─────────┐ ┌──────────────┐
│ Browser │ ←───────────────────────────│ Laravel │
└─────────┘ laravel_session 쿠키 │ Sanctum │
↓ (HTTP-only) └──────────────┘
│ 4. 보호된 페이지 접근
│ GET /dashboard
│ Cookies: laravel_session
↓
┌─────────┐ ┌──────────────┐
│ Browser │ ←───────────────────────────│ Next.js │
└─────────┘ 페이지 렌더링 │ Middleware │
(쿠키 확인 ✓) └──────────────┘
2. 보호된 페이지 접근 플로우
사용자 → /dashboard 접속
↓
Middleware 실행
↓
┌─────────────────┐
│ 세션 쿠키 확인? │
└─────────────────┘
↓
Yes ↓ No ↓
↓ ↓
페이지 렌더링 Redirect
(Server /login?redirect=/dashboard
Component)
3. 미들웨어 체크 순서
Request
↓
1. Bot Detection Check
├─ Bot → 403 Forbidden
└─ Human → Continue
↓
2. Static Files Check
├─ Static → Skip Auth
└─ Dynamic → Continue
↓
3. Public Routes Check
├─ Public → Skip Auth
└─ Protected → Continue
↓
4. Session Cookie Check
├─ Valid Session → Continue
└─ No Session → Redirect /login
↓
5. Guest Only Routes Check
├─ Authenticated + /login → Redirect /dashboard
└─ Continue
↓
6. i18n Routing
↓
Response
📁 파일 구조
/src
├─ /lib
│ └─ /auth
│ ├─ sanctum.ts # Sanctum API 클라이언트
│ ├─ auth-config.ts # 인증 설정 (routes, URLs)
│ └─ server-auth.ts # 서버 컴포넌트용 유틸
│
├─ /contexts
│ └─ AuthContext.tsx # 클라이언트 인증 상태 관리
│
├─ /app/[locale]
│ ├─ /(auth) # 인증 관련 라우트 그룹
│ │ ├─ /login
│ │ │ └─ page.tsx # 로그인 페이지
│ │ ├─ /register
│ │ │ └─ page.tsx # 회원가입 페이지
│ │ └─ /forgot-password
│ │ └─ page.tsx # 비밀번호 재설정
│ │
│ ├─ /(protected) # 보호된 라우트 그룹
│ │ ├─ /dashboard
│ │ │ └─ page.tsx
│ │ ├─ /profile
│ │ │ └─ page.tsx
│ │ └─ /settings
│ │ └─ page.tsx
│ │
│ └─ layout.tsx # AuthProvider 추가
│
├─ /middleware.ts # 통합 미들웨어
│
└─ /.env.local # 환경 변수
🛠️ 핵심 구현 포인트
1. 인증 설정 (lib/auth/auth-config.ts)
export const AUTH_CONFIG = {
// API 엔드포인트
apiUrl: process.env.NEXT_PUBLIC_API_URL || 'http://localhost:8000',
// 완전 공개 라우트 (인증 체크 안함)
publicRoutes: [
'/',
'/about',
'/contact',
'/terms',
'/privacy',
],
// 인증 필요 라우트
protectedRoutes: [
'/dashboard',
'/profile',
'/settings',
'/admin',
'/tenant',
'/users',
'/reports',
// ... ERP 경로들
],
// 게스트 전용 (로그인 후 접근 불가)
guestOnlyRoutes: [
'/login',
'/register',
'/forgot-password',
],
// 리다이렉트 설정
redirects: {
afterLogin: '/dashboard',
afterLogout: '/login',
unauthorized: '/login',
},
};
2. Sanctum API 클라이언트 (lib/auth/sanctum.ts)
class SanctumClient {
private baseURL: string;
private csrfToken: string | null = null;
constructor() {
this.baseURL = AUTH_CONFIG.apiUrl;
}
/**
* CSRF 토큰 가져오기
* 로그인/회원가입 전에 반드시 호출
*/
async getCsrfToken(): Promise<void> {
await fetch(`${this.baseURL}/sanctum/csrf-cookie`, {
credentials: 'include', // 쿠키 포함
});
}
/**
* 로그인
*/
async login(email: string, password: string): Promise<User> {
await this.getCsrfToken();
const response = await fetch(`${this.baseURL}/api/login`, {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'Accept': 'application/json',
},
credentials: 'include',
body: JSON.stringify({ email, password }),
});
if (!response.ok) {
throw new Error('Login failed');
}
return await response.json();
}
/**
* 회원가입
*/
async register(data: RegisterData): Promise<User> {
await this.getCsrfToken();
const response = await fetch(`${this.baseURL}/api/register`, {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'Accept': 'application/json',
},
credentials: 'include',
body: JSON.stringify(data),
});
if (!response.ok) {
const error = await response.json();
throw error;
}
return await response.json();
}
/**
* 로그아웃
*/
async logout(): Promise<void> {
await fetch(`${this.baseURL}/api/logout`, {
method: 'POST',
credentials: 'include',
});
}
/**
* 현재 사용자 정보
*/
async getCurrentUser(): Promise<User | null> {
try {
const response = await fetch(`${this.baseURL}/api/user`, {
credentials: 'include',
});
if (response.ok) {
return await response.json();
}
return null;
} catch {
return null;
}
}
}
export const sanctumClient = new SanctumClient();
핵심 포인트:
credentials: 'include'- 모든 요청에 쿠키 포함- CSRF 토큰은 쿠키로 자동 관리 (Laravel이 처리)
- 에러 처리 일관성
3. 서버 인증 유틸 (lib/auth/server-auth.ts)
import { cookies } from 'next/headers';
import { AUTH_CONFIG } from './auth-config';
/**
* 서버 컴포넌트에서 세션 가져오기
*/
export async function getServerSession(): Promise<User | null> {
const cookieStore = await cookies();
const sessionCookie = cookieStore.get('laravel_session');
if (!sessionCookie) {
return null;
}
try {
const response = await fetch(`${AUTH_CONFIG.apiUrl}/api/user`, {
headers: {
Cookie: `laravel_session=${sessionCookie.value}`,
Accept: 'application/json',
},
cache: 'no-store', // 항상 최신 데이터
});
if (response.ok) {
return await response.json();
}
} catch (error) {
console.error('Failed to get server session:', error);
}
return null;
}
/**
* 서버 컴포넌트에서 인증 필요
*/
export async function requireAuth(): Promise<User> {
const user = await getServerSession();
if (!user) {
redirect('/login');
}
return user;
}
사용 예시:
// app/(protected)/dashboard/page.tsx
import { requireAuth } from '@/lib/auth/server-auth';
export default async function DashboardPage() {
const user = await requireAuth(); // 인증 필요
return <div>Welcome {user.name}</div>;
}
4. Middleware 통합 (middleware.ts)
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';
import createIntlMiddleware from 'next-intl/middleware';
import { locales, defaultLocale } from '@/i18n/config';
import { AUTH_CONFIG } from '@/lib/auth/auth-config';
const intlMiddleware = createIntlMiddleware({
locales,
defaultLocale,
localePrefix: 'as-needed',
});
// 경로가 보호된 라우트인지 확인
function isProtectedRoute(pathname: string): boolean {
return AUTH_CONFIG.protectedRoutes.some(route =>
pathname.startsWith(route)
);
}
// 경로가 공개 라우트인지 확인
function isPublicRoute(pathname: string): boolean {
return AUTH_CONFIG.publicRoutes.some(route =>
pathname === route || pathname.startsWith(route)
);
}
// 경로가 게스트 전용인지 확인
function isGuestOnlyRoute(pathname: string): boolean {
return AUTH_CONFIG.guestOnlyRoutes.some(route =>
pathname === route || pathname.startsWith(route)
);
}
// 로케일 제거
function stripLocale(pathname: string): string {
for (const locale of locales) {
if (pathname.startsWith(`/${locale}/`) || pathname === `/${locale}`) {
return pathname.slice(`/${locale}`.length) || '/';
}
}
return pathname;
}
export function middleware(request: NextRequest) {
const { pathname } = request.nextUrl;
// 1. Bot Detection (기존 로직)
// ... bot check code ...
// 2. 정적 파일 제외
if (
pathname.includes('/_next/') ||
pathname.includes('/api/') ||
pathname.match(/\.(ico|png|jpg|jpeg|svg|gif|webp)$/)
) {
return intlMiddleware(request);
}
// 3. 로케일 제거하여 경로 체크
const pathnameWithoutLocale = stripLocale(pathname);
// 4. 세션 쿠키 확인
const sessionCookie = request.cookies.get('laravel_session');
const isAuthenticated = !!sessionCookie;
// 5. 보호된 라우트 체크
if (isProtectedRoute(pathnameWithoutLocale) && !isAuthenticated) {
const url = new URL('/login', request.url);
url.searchParams.set('redirect', pathname);
return NextResponse.redirect(url);
}
// 6. 게스트 전용 라우트 체크 (이미 로그인한 경우)
if (isGuestOnlyRoute(pathnameWithoutLocale) && isAuthenticated) {
return NextResponse.redirect(
new URL(AUTH_CONFIG.redirects.afterLogin, request.url)
);
}
// 7. i18n 미들웨어 실행
return intlMiddleware(request);
}
export const config = {
matcher: [
'/((?!_next/static|_next/image|favicon.ico|.*\\.(?:svg|png|jpg|jpeg|gif|webp|ico)$).*)',
],
};
장점:
- 단일 진입점에서 모든 인증 처리
- 가드 컴포넌트 불필요
- 중복 코드 제거
- 성능 최적화 (서버 사이드 체크)
5. Auth Context (contexts/AuthContext.tsx)
'use client';
import { createContext, useContext, useState, useEffect, ReactNode } from 'react';
import { sanctumClient } from '@/lib/auth/sanctum';
import { useRouter } from 'next/navigation';
import { AUTH_CONFIG } from '@/lib/auth/auth-config';
interface User {
id: number;
name: string;
email: string;
}
interface AuthContextType {
user: User | null;
loading: boolean;
login: (email: string, password: string) => Promise<void>;
register: (data: RegisterData) => Promise<void>;
logout: () => Promise<void>;
refreshUser: () => Promise<void>;
}
const AuthContext = createContext<AuthContextType | undefined>(undefined);
export function AuthProvider({ children }: { children: ReactNode }) {
const [user, setUser] = useState<User | null>(null);
const [loading, setLoading] = useState(true);
const router = useRouter();
// 초기 로드 시 사용자 정보 가져오기
useEffect(() => {
sanctumClient.getCurrentUser()
.then(setUser)
.catch(() => setUser(null))
.finally(() => setLoading(false));
}, []);
const login = async (email: string, password: string) => {
const user = await sanctumClient.login(email, password);
setUser(user);
router.push(AUTH_CONFIG.redirects.afterLogin);
};
const register = async (data: RegisterData) => {
const user = await sanctumClient.register(data);
setUser(user);
router.push(AUTH_CONFIG.redirects.afterLogin);
};
const logout = async () => {
await sanctumClient.logout();
setUser(null);
router.push(AUTH_CONFIG.redirects.afterLogout);
};
const refreshUser = async () => {
const user = await sanctumClient.getCurrentUser();
setUser(user);
};
return (
<AuthContext.Provider value={{ user, loading, login, register, logout, refreshUser }}>
{children}
</AuthContext.Provider>
);
}
export function useAuth() {
const context = useContext(AuthContext);
if (!context) {
throw new Error('useAuth must be used within AuthProvider');
}
return context;
}
사용 예시:
// components/LoginForm.tsx
'use client';
import { useAuth } from '@/contexts/AuthContext';
export function LoginForm() {
const { login, loading } = useAuth();
const handleSubmit = async (e: FormEvent) => {
e.preventDefault();
await login(email, password);
};
return <form onSubmit={handleSubmit}>...</form>;
}
🔒 보안 고려사항
1. CSRF 보호
Next.js 측:
- 모든 상태 변경 요청 전에
getCsrfToken()호출 - Laravel이 XSRF-TOKEN 쿠키 발급
- 브라우저가 자동으로 헤더에 포함
Laravel 측 (백엔드 담당):
// config/sanctum.php
'stateful' => explode(',', env('SANCTUM_STATEFUL_DOMAINS', 'localhost,localhost:3000')),
2. 쿠키 보안 설정
Laravel 측 (백엔드 담당):
// config/session.php
'secure' => env('SESSION_SECURE_COOKIE', true), // HTTPS only
'http_only' => true, // JavaScript 접근 불가
'same_site' => 'lax', // CSRF 방지
3. CORS 설정
Laravel 측 (백엔드 담당):
// config/cors.php
'paths' => ['api/*', 'sanctum/csrf-cookie'],
'supports_credentials' => true,
'allowed_origins' => [env('FRONTEND_URL')],
'allowed_headers' => ['*'],
'exposed_headers' => [],
'max_age' => 0,
4. 환경 변수
# .env.local (Next.js)
NEXT_PUBLIC_API_URL=http://localhost:8000
NEXT_PUBLIC_FRONTEND_URL=http://localhost:3000
# .env (Laravel)
FRONTEND_URL=http://localhost:3000
SANCTUM_STATEFUL_DOMAINS=localhost:3000
SESSION_DOMAIN=localhost
SESSION_SECURE_COOKIE=false # 개발: false, 프로덕션: true
5. XSS 방어
- HTTP-only 쿠키 사용 (JavaScript로 접근 불가)
- 사용자 입력 sanitization (React가 기본으로 처리)
- CSP 헤더 설정 (Next.js 설정)
6. Rate Limiting
Laravel 측 (백엔드 담당):
// routes/api.php
Route::middleware(['throttle:login'])->group(function () {
Route::post('/login', [AuthController::class, 'login']);
});
// app/Http/Kernel.php
'login' => 'throttle:5,1', // 1분에 5번
📊 에러 처리 전략
1. 에러 타입별 처리
// lib/auth/sanctum.ts
class ApiError extends Error {
constructor(
public status: number,
public code: string,
message: string,
public errors?: Record<string, string[]>
) {
super(message);
}
}
async function handleResponse<T>(response: Response): Promise<T> {
if (response.ok) {
return await response.json();
}
const data = await response.json().catch(() => ({}));
switch (response.status) {
case 401:
// 인증 실패 - 로그인 페이지로
window.location.href = '/login';
throw new ApiError(401, 'UNAUTHORIZED', 'Please login');
case 403:
// 권한 없음
throw new ApiError(403, 'FORBIDDEN', 'Access denied');
case 422:
// Validation 에러
throw new ApiError(
422,
'VALIDATION_ERROR',
data.message || 'Validation failed',
data.errors
);
case 429:
// Rate limit
throw new ApiError(429, 'RATE_LIMIT', 'Too many requests');
case 500:
// 서버 에러
throw new ApiError(500, 'SERVER_ERROR', 'Server error occurred');
default:
throw new ApiError(
response.status,
'UNKNOWN_ERROR',
data.message || 'An error occurred'
);
}
}
2. UI 에러 표시
// components/LoginForm.tsx
const [error, setError] = useState<string | null>(null);
const [fieldErrors, setFieldErrors] = useState<Record<string, string[]>>({});
try {
await login(email, password);
} catch (err) {
if (err instanceof ApiError) {
if (err.status === 422 && err.errors) {
setFieldErrors(err.errors);
} else {
setError(err.message);
}
} else {
setError('An unexpected error occurred');
}
}
3. 네트워크 에러 처리
// 재시도 로직
async function fetchWithRetry(
url: string,
options: RequestInit,
retries = 3
): Promise<Response> {
try {
return await fetch(url, options);
} catch (error) {
if (retries > 0) {
await new Promise(resolve => setTimeout(resolve, 1000));
return fetchWithRetry(url, options, retries - 1);
}
throw new Error('Network error. Please check your connection.');
}
}
🚀 성능 최적화
1. Middleware 최적화
// 정적 파일 조기 리턴
if (pathname.includes('/_next/') || pathname.match(/\.(ico|png|jpg)$/)) {
return NextResponse.next();
}
// 쿠키만 확인, API 호출 안함
const isAuthenticated = !!request.cookies.get('laravel_session');
2. 클라이언트 캐싱
// AuthContext에서 사용자 정보 캐싱
// 페이지 이동 시 재요청 안함
const [user, setUser] = useState<User | null>(null);
3. Server Components 활용
// 서버에서 데이터 fetch
export default async function DashboardPage() {
const user = await getServerSession();
const data = await fetchDashboardData(user.id);
return <Dashboard user={user} data={data} />;
}
4. Parallel Data Fetching
// 병렬 데이터 요청
const [user, stats, notifications] = await Promise.all([
getServerSession(),
fetchStats(),
fetchNotifications(),
]);
📝 구현 단계
Phase 1: 기본 인프라 설정
- 1.1 인증 설정 파일 생성 (
auth-config.ts) - 1.2 Sanctum API 클라이언트 구현 (
sanctum.ts) - 1.3 서버 인증 유틸리티 (
server-auth.ts) - 1.4 타입 정의 (
types/auth.ts)
Phase 2: Middleware 통합
- 2.1 현재 middleware.ts 백업
- 2.2 인증 로직 추가
- 2.3 라우트 보호 로직 구현
- 2.4 리다이렉트 로직 구현
Phase 3: 클라이언트 상태 관리
- 3.1 AuthContext 생성
- 3.2 AuthProvider를 layout.tsx에 추가
- 3.3 useAuth 훅 테스트
Phase 4: 인증 페이지 구현
- 4.1 로그인 페이지 (
/login) - 4.2 회원가입 페이지 (
/register) - 4.3 비밀번호 재설정 (
/forgot-password) - 4.4 폼 Validation (react-hook-form + zod)
Phase 5: 보호된 페이지 구현
- 5.1 대시보드 페이지 (
/dashboard) - 5.2 프로필 페이지 (
/profile) - 5.3 설정 페이지 (
/settings)
Phase 6: 테스트 및 최적화
- 6.1 인증 플로우 테스트
- 6.2 에러 케이스 테스트
- 6.3 성능 측정 및 최적화
- 6.4 보안 점검
🤔 검토 포인트
1. 설계 관련 질문
-
Middleware 중심 설계가 적합한가?
- 장점: 중앙 집중식 관리, 중복 코드 제거
- 단점: 복잡도 증가 가능성
-
세션 쿠키만으로 충분한가?
- Sanctum SPA 모드는 세션 쿠키로 충분
- API 토큰 모드가 필요한 경우 추가 구현 필요
-
Server Components vs Client Components 비율은?
- 인증 체크: Server (Middleware + getServerSession)
- 상태 관리: Client (AuthContext)
- UI: 혼합 (페이지는 Server, 인터랙션은 Client)
2. 구현 우선순위
높음 (즉시 필요):
- auth-config.ts
- sanctum.ts
- middleware.ts 업데이트
- 로그인 페이지
중간 (빠르게 필요):
- AuthContext
- 회원가입 페이지
- 대시보드 기본 구조
낮음 (나중에):
- 비밀번호 재설정
- 프로필 관리
- 고급 보안 기능
3. Laravel 백엔드 체크리스트
백엔드 개발자가 확인해야 할 사항:
# 1. Sanctum 설치 및 설정
composer require laravel/sanctum
php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
# 2. config/sanctum.php
'stateful' => explode(',', env('SANCTUM_STATEFUL_DOMAINS', 'localhost:3000')),
# 3. config/cors.php
'supports_credentials' => true,
'allowed_origins' => [env('FRONTEND_URL')],
# 4. API Routes
Route::post('/login', [AuthController::class, 'login']);
Route::post('/register', [AuthController::class, 'register']);
Route::post('/logout', [AuthController::class, 'logout'])->middleware('auth:sanctum');
Route::get('/user', [AuthController::class, 'user'])->middleware('auth:sanctum');
# 5. CORS 미들웨어
app/Http/Kernel.php에 \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class 추가
🎯 다음 액션
이 설계 문서를 검토 후:
- 승인 시: Phase 1부터 순차적으로 구현 시작
- 수정 필요 시: 피드백 반영 후 재설계
- 질문 사항: 불명확한 부분 명확화
질문이나 수정 사항이 있으면 알려주세요!