[개선] JWT 에서 데이터 Claim시 서명 알고리즘의 명시적 선언 필요

[cabbage16]

🎫 관련 이슈

close #145

📄 개요

JWT에서 데이터 Claim시 서명 알고리즘이 불일치하면 오류를 발생시키는 기능을 만들었습니다.

🔨 작업 내용

• extractAllClaims를 실행할 때 서명 알고리즘이 HS256이 아니면 INVALID_SIGNATURE_ALGORITHM을 반환하도록 만들었습니다.

🏁 확인 사항

• 테스트를 완료했나요?
• API 문서를 작성했나요?
• 코드 컨벤션을 준수했나요?
• 불필요한 로그, 주석, import 등을 삭제했나요?

🙋🏻 덧붙일 말

[github-actions]

이렇게 리뷰해주세요.

🖐️ 규칙

1. 왜 개선이 필요한지 충분히 설명해주세요.
2. 답을 알려주기보다는 스스로 고민하고 개선 방법을 선택할 수 있게 해주세요.
3. 코드를 깔끔하게 유지하고, 일관되게 구현하도록 안내해 주세요.
4. 리뷰 과정이 숙제검사가 아닌 학습과정으로 느낄 수 있게 리뷰해 주세요.
5. 리뷰를 위한 리뷰를 하지 마세요. 피드백 할 게 없으면 칭찬해 주세요.

🥬 우선순위

리뷰 중요도에 따라 다음과 같은 prefix를 붙여주세요.

예시 - P5) 쓸모없는 주석 삭제해주세요.

• P1: 꼭 반영해주세요 (Request changes)
• P2: 적극적으로 고려해주세요 (Request changes)
• P3: 웬만하면 반영해 주세요 (Comment)
• P4: 반영해도 좋고 넘어가도 좋습니다 (Approve)
• P5: 그냥 사소한 의견입니다 (Approve)

[gimhanul]

이게 왜 필요한 거예여

[cabbage16]

이게 왜 필요한 거예여

145 이슈 밑에 있는 링크 보시면 BOB에서 마루 보안 테스트를 받았는데 그중에서 jwt 서명 알고리즘을 명시적으로 선언 하지 않으면 alg: "none" 공격을 받을 가능성이 있다고 하셔서 서명 알고리즘이 HS256인 경우에만 실행되도록 했습니다!

[gimhanul]

왕 신기하네여

근데 이거 INVALID_TOKEN 이미 있는 exception으로 처리해도 될 거 같습니다! (추천하는 부분)

[sonarcloud]

Quality Gate passed

Issues
0 New issues
0 Accepted issues

Measures
0 Security Hotspots
0.0% Coverage on New Code
0.0% Duplication on New Code

See analysis details on SonarCloud