chpark/vexplor
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
vexplor/docs/채번규칙_멀티테넌시_버그_수정_완료.md
kjs f2500865a6 격자 저장문제 수정
2025-11-06 17:01:13 +09:00

333 lines
8.3 KiB
Markdown
Raw Permalink Blame History

# 채번 규칙 멀티테넌시 버그 수정 완료
> **작성일**: 2025-11-06
> **상태**: ✅ 완료
---
## 🐛 문제 발견
### 증상
- 다른 회사 계정으로 로그인했는데 `company_code = "*"` (최고 관리자 전용) 채번 규칙이 보임
- 멀티테넌시 원칙 위반
### 원인
`backend-node/src/services/numberingRuleService.ts`의 SQL 쿼리에서 **잘못된 WHERE 조건** 사용:
```typescript
// ❌ 잘못된 쿼리 (버그)
WHERE company_code = $1 OR company_code = '*'
```
**문제점:**
- `OR company_code = '*'` 조건이 **항상 최고 관리자 데이터를 포함**시킴
- 일반 회사 사용자도 `company_code = "*"` 데이터를 볼 수 있음
- 멀티테넌시 보안 위반
---
## ✅ 수정 내용
### 수정된 로직
```typescript
// ✅ 올바른 쿼리 (수정 후)
if (companyCode === "*") {
// 최고 관리자: 모든 회사 데이터 조회 가능
query = `SELECT * FROM numbering_rules`;
params = [];
} else {
// 일반 회사: 자신의 데이터만 조회 (company_code="*" 제외)
query = `SELECT * FROM numbering_rules WHERE company_code = $1`;
params = [companyCode];
}
```
### 수정된 메서드 목록
| 메서드 | 수정 내용 | 라인 |
|--------|-----------|------|
| `getRuleList()` | 멀티테넌시 필터링 추가 | 40-150 |
| `getAvailableRulesForMenu()` | 멀티테넌시 필터링 추가 | 155-402 |
| `getRuleById()` | 멀티테넌시 필터링 추가 | 407-506 |
---
## 📊 수정 전후 비교
### 수정 전 (버그)
```sql
-- 일반 회사 (COMPANY_A) 로그인 시
SELECT * FROM numbering_rules
WHERE company_code = 'COMPANY_A' OR company_code = '*';
-- 결과: 3건
-- 1. SAMPLE_RULE (company_code = '*') ← 보면 안 됨!
-- 2. 사번코드 (company_code = '*') ← 보면 안 됨!
-- 3. COMPANY_A 전용 규칙 (있다면)
```
### 수정 후 (정상)
```sql
-- 일반 회사 (COMPANY_A) 로그인 시
SELECT * FROM numbering_rules
WHERE company_code = 'COMPANY_A';
-- 결과: 1건 (또는 0건)
-- 1. COMPANY_A 전용 규칙만 조회
-- company_code="*" 데이터는 제외됨!
```
```sql
-- 최고 관리자 (company_code = '*') 로그인 시
SELECT * FROM numbering_rules;
-- 결과: 모든 규칙 조회 가능
-- - SAMPLE_RULE (company_code = '*')
-- - 사번코드 (company_code = '*')
-- - COMPANY_A 전용 규칙
-- - COMPANY_B 전용 규칙
-- 등 모든 회사 데이터
```
---
## 🔍 상세 수정 내역
### 1. `getRuleList()` 메서드
**Before:**
```typescript
const query = `
SELECT * FROM numbering_rules
WHERE company_code = $1 OR company_code = '*'
`;
const result = await pool.query(query, [companyCode]);
```
**After:**
```typescript
let query: string;
let params: any[];
if (companyCode === "*") {
// 최고 관리자: 모든 데이터 조회
query = `SELECT * FROM numbering_rules ORDER BY created_at DESC`;
params = [];
logger.info("최고 관리자 전체 채번 규칙 조회");
} else {
// 일반 회사: 자신의 데이터만 조회
query = `SELECT * FROM numbering_rules WHERE company_code = $1 ORDER BY created_at DESC`;
params = [companyCode];
logger.info("회사별 채번 규칙 조회", { companyCode });
}
const result = await pool.query(query, params);
```
### 2. `getAvailableRulesForMenu()` 메서드
**Before:**
```typescript
// menuObjid 없을 때
const query = `
SELECT * FROM numbering_rules
WHERE (company_code = $1 OR company_code = '*')
AND scope_type = 'global'
`;
// menuObjid 있을 때
const query = `
SELECT * FROM numbering_rules
WHERE (company_code = $1 OR company_code = '*')
AND (scope_type = 'global' OR (scope_type = 'menu' AND menu_objid = $2))
`;
```
**After:**
```typescript
// 최고 관리자와 일반 회사를 명확히 구분
if (companyCode === "*") {
// 최고 관리자 쿼리
query = `SELECT * FROM numbering_rules WHERE scope_type = 'global'`;
} else {
// 일반 회사 쿼리 (company_code="*" 제외)
query = `SELECT * FROM numbering_rules WHERE company_code = $1 AND scope_type = 'global'`;
}
```
### 3. `getRuleById()` 메서드
**Before:**
```typescript
const query = `
SELECT * FROM numbering_rules
WHERE rule_id = $1 AND (company_code = $2 OR company_code = '*')
`;
const result = await pool.query(query, [ruleId, companyCode]);
```
**After:**
```typescript
if (companyCode === "*") {
// 최고 관리자: rule_id만 체크
query = `SELECT * FROM numbering_rules WHERE rule_id = $1`;
params = [ruleId];
} else {
// 일반 회사: rule_id + company_code 체크
query = `SELECT * FROM numbering_rules WHERE rule_id = $1 AND company_code = $2`;
params = [ruleId, companyCode];
}
```
---
## 🧪 테스트 시나리오
### 시나리오 1: 최고 관리자 로그인
```bash
# 로그인
POST /api/auth/login
{
"userId": "admin",
"password": "****"
}
# → JWT 토큰에 companyCode = "*" 포함
# 채번 규칙 조회
GET /api/numbering-rules
Authorization: Bearer {token}
# 예상 결과: 모든 회사의 규칙 조회 가능
[
{ "ruleId": "SAMPLE_RULE", "companyCode": "*" },
{ "ruleId": "사번코드", "companyCode": "*" },
{ "ruleId": "COMPANY_A_RULE", "companyCode": "COMPANY_A" },
{ "ruleId": "COMPANY_B_RULE", "companyCode": "COMPANY_B" }
]
```
### 시나리오 2: 일반 회사 (COMPANY_A) 로그인
```bash
# 로그인
POST /api/auth/login
{
"userId": "user_a",
"password": "****"
}
# → JWT 토큰에 companyCode = "COMPANY_A" 포함
# 채번 규칙 조회
GET /api/numbering-rules
Authorization: Bearer {token}
# 예상 결과: 자신의 회사 규칙만 조회 (company_code="*" 제외)
[
{ "ruleId": "COMPANY_A_RULE", "companyCode": "COMPANY_A" }
]
```
### 시나리오 3: 일반 회사 (COMPANY_B) 로그인
```bash
# 로그인
POST /api/auth/login
{
"userId": "user_b",
"password": "****"
}
# → JWT 토큰에 companyCode = "COMPANY_B" 포함
# 채번 규칙 조회
GET /api/numbering-rules
Authorization: Bearer {token}
# 예상 결과: COMPANY_B 규칙만 조회
[
{ "ruleId": "COMPANY_B_RULE", "companyCode": "COMPANY_B" }
]
```
---
## 🎯 멀티테넌시 원칙 재확인
### 핵심 원칙
**company_code = "*"는 최고 관리자 전용 데이터이며, 일반 회사는 절대 접근할 수 없습니다.**
| 회사 코드 | 조회 가능 데이터 | 설명 |
|-----------|------------------|------|
| `*` (최고 관리자) | 모든 회사 데이터 | `company_code = "*"`, `"COMPANY_A"`, `"COMPANY_B"` 등 모두 조회 |
| `COMPANY_A` | `COMPANY_A` 데이터만 | `company_code = "*"` 데이터는 **절대 조회 불가** |
| `COMPANY_B` | `COMPANY_B` 데이터만 | `company_code = "*"` 데이터는 **절대 조회 불가** |
### SQL 패턴
```sql
-- ❌ 잘못된 패턴 (버그)
WHERE company_code = $1 OR company_code = '*'
-- ✅ 올바른 패턴 (최고 관리자)
WHERE 1=1 -- 모든 데이터
-- ✅ 올바른 패턴 (일반 회사)
WHERE company_code = $1 -- company_code="*" 자동 제외
```
---
## 📝 추가 확인 사항
### 다른 서비스에도 같은 버그가 있을 가능성
다음 서비스들도 동일한 패턴으로 멀티테넌시 버그가 있는지 확인 필요:
- [ ] `backend-node/src/services/screenService.ts`
- [ ] `backend-node/src/services/tableService.ts`
- [ ] `backend-node/src/services/flowService.ts`
- [ ] `backend-node/src/services/adminService.ts`
- [ ] 기타 `company_code` 필터링을 사용하는 모든 서비스
### 확인 방법
```bash
# 잘못된 패턴 검색
cd backend-node/src/services
grep -n "OR company_code = '\*'" *.ts
```
---
## 🚀 배포 전 체크리스트
- [x] 코드 수정 완료
- [x] 린트 에러 없음
- [x] 로깅 추가 (최고 관리자 vs 일반 회사 구분)
- [ ] 단위 테스트 작성 (선택)
- [ ] 통합 테스트 (필수)
- [ ] 최고 관리자로 로그인하여 모든 규칙 조회 확인
- [ ] 일반 회사로 로그인하여 자신의 규칙만 조회 확인
- [ ] 다른 회사 규칙에 접근 불가능 확인
- [ ] 프론트엔드에서 채번 규칙 목록 재확인
- [ ] 백엔드 재실행 (코드 변경 사항 반영)
---
## 📚 관련 문서
- [멀티테넌시 필수 규칙](../README.md#멀티테넌시-필수-규칙)
- [채번 규칙 컴포넌트 구현 완료](./채번규칙_컴포넌트_구현_완료.md)
- [데이터베이스 스키마](../db/migrations/034_create_numbering_rules.sql)
---
**수정 완료일**: 2025-11-06
**수정자**: AI Assistant
**영향 범위**: `numberingRuleService.ts` 전체
Reference in New Issue View Git Blame Copy Permalink