SamProject/sam-react-prod
6
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
df3db155dd9f72fa02cd438c2767fc00a708e370
sam-react-prod/claudedocs/[REF] session-migration-summary.md
byeongcheolryu 21edc932d9 docs: localStorage SSR 수정 작업 세션 체크포인트 생성 
- ItemMasterDataManagement.tsx SSR 호환성 작업 계획 수립
- 6곳의 localStorage useState 초기화 수정 대상 파악
- 대용량 파일 작업 전략 및 세션 재개 방법 문서화

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-18 14:05:29 +09:00

366 lines
8.7 KiB
Markdown
Raw Blame History

# 세션 기반 인증 전환 - 프로젝트 요약
## 📌 프로젝트 개요
**목표**: JWT 토큰 기반 → 세션 기반 인증으로 전환하여 보안 강화
**작업 기간**: 2-3일 (백엔드 1-2일, 프론트엔드 1일)
**상태**: ⏳ 백엔드 준비 중 → 프론트엔드 대기
---
## 🎯 전환 이유 (보안 강화)
| 보안 항목 | JWT 토큰 (현재) | 세션 (전환 후) |
|----------|----------------|---------------|
| 로그아웃 효과 | 쿠키만 삭제, 토큰 유효 | 세션 파괴, 즉시 차단 ✅ |
| 토큰 탈취 시 | 만료까지 악용 가능 (2시간) | 즉시 무효화 가능 ✅ |
| 세션 하이재킹 감지 | 어려움 | 실시간 감지 (IP/UA) ✅ |
| 강제 로그아웃 | 불가능 | 관리자가 즉시 가능 ✅ |
| 동시 로그인 제한 | 어려움 | 1계정 1세션 강제 ✅ |
**결론**: ERP 시스템의 민감한 업무 데이터 보호에 세션이 더 적합
---
## 📊 아키텍처 변경
### 현재 (JWT 토큰)
```
[클라이언트] --user_id/pwd--> [Next.js] --user_id/pwd--> [PHP 백엔드]
| |
| <--access_token------ |
| refresh_token |
| |
[쿠키: access_token] <---저장--- | |
[쿠키: refresh_token] | |
```
### 전환 후 (세션)
```
[클라이언트] --user_id/pwd--> [Next.js] --user_id/pwd--> [PHP 백엔드]
| |
| <--세션 생성 -------> [Redis]
| Session ID: abc123 |
| |
[쿠키: laravel_session=abc123]<-전달- |
```
---
## 🔄 작업 단계
### 단계 1: 백엔드 작업 (PHP/Laravel) ⏳ 진행 중
**담당**: 백엔드 팀
**예상 기간**: 1-2일
#### 필수 작업
- [ ] Redis 세션 드라이버 설정 (`.env`, `config/session.php`)
- [ ] 인증 가드 변경 (Sanctum → Session)
- [ ] 로그인 컨트롤러 수정 (토큰 제거, 세션 생성)
- [ ] 로그아웃 컨트롤러 수정 (세션 파괴)
- [ ] CORS 설정 (`supports_credentials: true`)
- [ ] 세션 하이재킹 감지 미들웨어 추가
- [ ] `/api/v1/auth/check` 엔드포인트 추가
- [ ] `/api/v1/refresh` 엔드포인트 삭제
#### 권장 작업
- [ ] Rate Limiting 적용
- [ ] 세션 활동 로그
- [ ] 관리자 강제 로그아웃 기능
**📄 상세 가이드**: `SESSION_MIGRATION_BACKEND.md`
---
### 단계 2: 프론트엔드 작업 (Next.js) ⏸️ 대기 중
**담당**: 프론트엔드 팀
**예상 기간**: 1일
#### 필수 작업
- [ ] `src/app/api/auth/login/route.ts` 수정
- `credentials: 'include'` 추가
- 백엔드 세션 쿠키 전달
- 토큰 저장 로직 제거
- [ ] `src/app/api/auth/logout/route.ts` 수정
- `credentials: 'include'` 추가
- 세션 쿠키를 백엔드로 전달
- [ ] `src/app/api/auth/check/route.ts` 수정
- 백엔드 세션 검증 API 호출
- 토큰 갱신 로직 제거
- [ ] `src/middleware.ts` 수정
- `laravel_session` 쿠키 확인
- 토큰 쿠키 확인 제거
- [ ] 파일 삭제
- `src/app/api/auth/refresh/route.ts`
- `src/lib/auth/token-refresh.ts`
**📄 상세 가이드**: `SESSION_MIGRATION_FRONTEND.md`
---
### 단계 3: 통합 테스트
**담당**: 양 팀 협업
**예상 기간**: 0.5일
- [ ] 로그인 플로우 테스트
- [ ] 로그아웃 즉시 차단 확인
- [ ] 세션 유지 확인 (페이지 새로고침)
- [ ] 세션 하이재킹 감지 테스트
- [ ] CORS 크로스 도메인 테스트
- [ ] 동시 로그인 제한 테스트
---
## 📋 API 변경 사항 요약
### 로그인 API
**엔드포인트**: `POST /api/v1/login`
**요청**: 변경 없음
```json
{
"user_id": "test",
"user_pwd": "password"
}
```
**응답**: 토큰 제거
```json
// ❌ 이전
{
"access_token": "eyJhbG...",
"refresh_token": "eyJhbG...",
"token_type": "bearer",
"expires_in": 7200,
"user": {...}
}
// ✅ 이후
{
"message": "Login successful",
"user": {...},
"tenant": {...},
"menus": [...],
"roles": [...]
}
// + Set-Cookie: laravel_session=abc123...
```
---
### 로그아웃 API
**엔드포인트**: `POST /api/v1/logout`
**변경 사항**:
- 세션 쿠키를 받아 Redis에서 세션 삭제
- 즉시 접근 차단
---
### 인증 체크 API (신규)
**엔드포인트**: `GET /api/v1/auth/check`
**응답**:
```json
{
"authenticated": true,
"user": {
"id": 1,
"name": "홍길동",
"email": "hong@example.com"
}
}
```
---
### 토큰 갱신 API (삭제)
**엔드포인트**: ~~`POST /api/v1/refresh`~~ ❌ 삭제
**이유**: 세션은 활동 시 자동 연장됨
---
## 🔐 보안 기능
### 1. 세션 하이재킹 자동 감지
```php
// 백엔드 미들웨어가 자동 감지
if (session('ip_address') !== request()->ip()) {
// 세션 즉시 파괴 및 차단
Auth::logout();
session()->invalidate();
return 401 Unauthorized;
}
```
### 2. 동시 로그인 제한
```php
// 로그인 시 다른 모든 세션 종료
DB::table('sessions')
->where('user_id', $userId)
->where('id', '!=', session()->getId())
->delete();
```
### 3. 관리자 강제 로그아웃
```php
// 관리자가 특정 사용자 세션 강제 종료
DB::table('sessions')
->where('user_id', $suspiciousUserId)
->delete();
```
---
## 🚨 주의사항
### 백엔드
1. **CORS 설정 필수**
```php
'supports_credentials' => true,
'allowed_origins' => [
'http://localhost:3000', // 개발
'https://yourdomain.com', // 프로덕션
],
```
2. **Redis 필수**
- 세션 저장소로 Redis 사용
- Redis 장애 대비 클러스터 구성 권장
3. **HTTPS 필수 (프로덕션)**
```bash
SESSION_SECURE_COOKIE=true
```
### 프론트엔드
1. **credentials: 'include' 필수**
```typescript
fetch(url, {
credentials: 'include' // 모든 API 호출에 추가
});
```
2. **세션 쿠키 이름 확인**
- 백엔드: `laravel_session`
- 미들웨어에서 이 이름으로 확인
---
## 📞 팀 간 커뮤니케이션
### 백엔드 → 프론트엔드 알림 필요
- [ ] 백엔드 배포 완료
- [ ] API 응답 형식 변경 완료
- [ ] CORS 설정 적용 완료
- [ ] 테스트 환경 준비 완료
### 프론트엔드 → 백엔드 요청 사항
- [ ] 프론트엔드 도메인을 CORS `allowed_origins`에 추가
- 개발: `http://localhost:3000`
- 프로덕션: `https://app.yourdomain.com`
- [ ] 세션 쿠키 이름 확인: `laravel_session`
---
## 🧪 테스트 시나리오
### 시나리오 1: 정상 로그인/로그아웃
```bash
1. 로그인 → 세션 쿠키 생성 확인
2. 인증 API 호출 → 정상 작동 확인
3. 로그아웃 → 세션 쿠키 삭제 확인
4. 인증 API 호출 → 401 Unauthorized 확인
```
### 시나리오 2: 세션 하이재킹 감지
```bash
1. 로그인 (IP: A)
2. 세션 쿠키 복사
3. 다른 IP(B)에서 같은 쿠키 사용 시도
4. 자동 차단 확인 (401 Unauthorized)
```
### 시나리오 3: 동시 로그인 제한
```bash
1. 기기 A에서 로그인
2. 기기 B에서 같은 계정 로그인
3. 기기 A 세션 자동 종료 확인
```
---
## 📅 일정
| 단계 | 담당 | 예상 기간 | 상태 |
|------|------|-----------|------|
| 백엔드 작업 | 백엔드 팀 | 1-2일 | ⏳ 진행 중 |
| 프론트엔드 작업 | 프론트엔드 팀 | 1일 | ⏸️ 대기 |
| 통합 테스트 | 양 팀 | 0.5일 | ⏸️ 대기 |
| 스테이징 배포 | DevOps | 0.5일 | ⏸️ 대기 |
| 프로덕션 배포 | DevOps | 협의 | ⏸️ 대기 |
---
## 📚 문서 목록
1. **SESSION_MIGRATION_BACKEND.md** - 백엔드 상세 가이드
2. **SESSION_MIGRATION_FRONTEND.md** - 프론트엔드 상세 가이드
3. **SESSION_MIGRATION_SUMMARY.md** - 본 문서 (프로젝트 요약)
---
## 🎯 완료 기준
### 백엔드 완료 조건
- [ ] 세션 기반 인증 구현 완료
- [ ] 세션 하이재킹 감지 작동
- [ ] CORS 설정 완료
- [ ] API 응답 형식 변경 완료
- [ ] 단위 테스트 통과
### 프론트엔드 완료 조건
- [ ] 토큰 관련 코드 제거 완료
- [ ] 세션 쿠키 기반 인증 적용
- [ ] 모든 API 호출에 `credentials: 'include'` 추가
- [ ] 로그인/로그아웃 플로우 정상 작동
### 통합 테스트 완료 조건
- [ ] 로그인/로그아웃 시나리오 통과
- [ ] 세션 하이재킹 감지 작동 확인
- [ ] 동시 로그인 제한 작동 확인
- [ ] CORS 에러 없음
---
**작성일**: 2025-11-12
**작성자**: Claude Code
**버전**: 1.0
**상태**: ⏳ 백엔드 작업 진행 중
Reference in New Issue View Git Blame Copy Permalink