feat: JWT 인증 필터에서 검증 토큰 처리 로직 개선

[fivedragon5]

SUMMARY

verificationToken 에서 정보 추출시 email로 추출

Summary by CodeRabbit

릴리스 노트

리팩토링

• JWT 검증 토큰 처리 흐름을 재구성했습니다.
• 액세스 토큰 기반 처리에서 검증 토큰의 이메일 추출 기반으로 전환했습니다.
• 검증 성공 시에만 인증을 설정하도록 변경했습니다.
• 검증 실패 시 검증 토큰 쿠키를 제거하도록 처리 방식을 개선했습니다.
• 검증용 인증 생성 로직을 별도 도우미로 분리하고 관련 흐름/주석을 정리했습니다.

_{✏️ Tip: You can customize this high-level summary in your review settings.}

[coderabbitai]

Walkthrough

검증 토큰 처리 흐름이 재구성되었습니다: accessToken에서 인증을 직접 얻던 방식 대신 verificationToken에서 이메일을 추출해 새로운 헬퍼 메서드(createVerificationAuthentication)로 인증을 생성하고, 검증 실패 시 verificationToken 쿠키를 명확히 제거하도록 변경되었습니다.

Changes

코호트 / 파일(s)	변경 요약
JWT 필터 검증 로직 재작업 src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java	verificationToken 처리 방식 변경: verificationToken에서 이메일 추출 후 createVerificationAuthentication(String email)으로 인증 생성. 검증 실패 시 verificationToken 쿠키를 제거하도록 쿠키 처리 로직 수정. 이전에 조건문 외부에서 무조건 설정하던 인증 생성 코드 제거(인증 설정은 성공 브랜치에서만 수행). private 헬퍼 메서드 추가.

Estimated code review effort

🎯 2 (Simple) | ⏱️ ~10 minutes

축하 시

🐰 검증의 길을 따라 이메일이 빛나네,
새 메서드로 인증을 만들고, 쿠키는 잘 정리했지요.
흐름은 깔끔히 분리되고, 실패는 조용히 지워지네.
점핑하는 당근처럼 변경이 반짝! 🥕✨

Pre-merge checks and finishing touches

❌ Failed checks (1 warning)

Check name	Status	Explanation	Resolution
Docstring Coverage	⚠️ Warning	Docstring coverage is 0.00% which is insufficient. The required threshold is 80.00%.	You can run @coderabbitai generate docstrings to improve docstring coverage.

✅ Passed checks (2 passed)

Check name	Status	Explanation
Description Check	✅ Passed	Check skipped - CodeRabbit’s high-level summary is enabled.
Title check	✅ Passed	PR 제목은 JWT 인증 필터의 검증 토큰 처리 로직 개선에 관한 것으로, 변경 사항의 핵심 내용(verificationToken에서 email 추출 및 인증 처리 개선)을 명확하게 반영하고 있습니다.

✨ Finishing touches

• 📝 Generate docstrings

---

📜 Recent review details

Configuration used: Repository UI

Review profile: CHILL

Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 73d25a3 and a436a08.

📒 Files selected for processing (1)

• src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java

⏰ Context from checks skipped due to timeout of 90000ms. You can increase the timeout in your CodeRabbit configuration to a maximum of 15 minutes (900000ms). (1)

• GitHub Check: check-application

🔇 Additional comments (2)

src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java (2)

70-70: LGTM!

검증 실패 시 verificationToken 쿠키를 명시적으로 제거하는 로직이 적절하게 구현되었습니다. accessToken 처리와 일관성 있는 패턴을 따르고 있습니다.

---

66-67: extractEmailFromVerificationToken 메서드는 존재하며 정상 작동합니다

jwtTokenProvider.extractEmailFromVerificationToken() 메서드는 JwtTokenProvider 클래스에 구현되어 있으며, null을 반환하지 않습니다. 메서드는 토큰을 파싱하고 type이 "verification"인지 검증한 후 subject(이메일)를 반환하거나 JwtException을 던집니다. 따라서 NPE 발생 위험은 없습니다.

다만, validateToken()은 토큰의 서명과 만료 시간만 검증하고 토큰 type은 검증하지 않으므로, extractEmailFromVerificationToken()에서 발생하는 JwtException(유효하지 않은 토큰 타입)이 필터 레벨에서 처리되지 않을 수 있습니다. 만약 다른 종류의 유효한 JWT(예: 만료되지 않은 access token)가 verification token 쿠키에 저장되면, validateToken() 통과 후 extractEmailFromVerificationToken()에서 예외가 발생합니다. 이 경우를 대비해 try-catch로 감싸거나 validateToken()에서 token type도 함께 검증하는 것을 고려하세요.

---

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[coderabbitai]

Actionable comments posted: 0

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (1)

src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java (1)

64-78: 심각한 보안 취약점: 토큰 검증이 우회됩니다.

Lines 74-77이 if-else 블록 바깥에 위치하여 토큰 검증 실패 시에도 무조건 실행됩니다:

1. 검증 실패 시: Line 71에서 SecurityContextHolder.clearContext() 호출 후, Lines 74-77에서 다시 인증을 설정하여 검증을 완전히 우회합니다.
2. 검증 성공 시: 동일한 로직이 두 번 실행됩니다 (Lines 66-68, Lines 74-77).
3. 무효한 토큰에서 이메일 추출 시도: Line 74에서 이미 무효화된 토큰에서 이메일을 추출하면 예외가 발생하거나 잘못된 데이터가 반환될 수 있습니다.

🔎 수정 제안: 중복 코드 제거

         if (verificationToken != null) {
             if (jwtTokenProvider.validateToken(verificationToken)) {
                 String email = jwtTokenProvider.extractEmailFromVerificationToken(verificationToken);
                 Authentication auth = createVerificationAuthentication(email);
                 SecurityContextHolder.getContext().setAuthentication(auth);
             } else {
                 clearAuthCookie(response, "verificationToken");
                 SecurityContextHolder.clearContext();
             }
-
-            String email = jwtTokenProvider.extractEmailFromVerificationToken(verificationToken);
-
-            Authentication auth = createVerificationAuthentication(email);
-            SecurityContextHolder.getContext().setAuthentication(auth);
         }

📜 Review details

Configuration used: Repository UI

Review profile: CHILL

Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 1fa4e98 and 73d25a3.

📒 Files selected for processing (1)

• src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java

⏰ Context from checks skipped due to timeout of 90000ms. You can increase the timeout in your CodeRabbit configuration to a maximum of 15 minutes (900000ms). (1)

• GitHub Check: check-application

🔇 Additional comments (1)

src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java (1)

89-99: LGTM!

헬퍼 메서드가 잘 구현되었습니다. Collections.singletonList를 사용한 불변 권한 리스트 생성과 ROLE_VERIFICATION을 통한 권한 제한이 적절합니다.

[github-actions]

Test Results

250 tests   250 ✅  10s ⏱️
 55 suites    0 💤
 55 files      0 ❌

Results for commit a436a08.

♻️ This comment has been updated with latest results.

[github-actions]

📊테스트 커버리지

Overall Project	79.67% -0.18%	🍏
Files changed	0%	❌

File	Coverage
JwtAuthenticationFilter.java	20.17% -10.92%	❌

[coderabbitai]

Actionable comments posted: 0

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (1)

src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java (1)

84-94: 권한 설정 중복 제거 필요

CustomUserDetails.getAuthorities()가 이미 Role에서 권한을 반환하므로, Line 86-87의 명시적 권한 생성은 불필요합니다.

CustomUserDetails의 getAuthorities() 메서드는 Role.VERIFICATION에 대해 "ROLE_VERIFICATION"을 반환하는데, 코드에서 동일한 권한을 중복으로 생성하고 있습니다. 다음과 같이 수정하세요:

private Authentication createVerificationAuthentication(String email) {
    CustomUserDetails userDetails = new CustomUserDetails(email, null, Role.VERIFICATION);
    
    return new UsernamePasswordAuthenticationToken(
            userDetails, "", userDetails.getAuthorities());
}

명시적으로 SimpleGrantedAuthority를 생성하는 대신 userDetails.getAuthorities()를 사용하여 권한이 한 곳에서만 정의되도록 하십시오.

📜 Review details

Configuration used: Repository UI

Review profile: CHILL

Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 73d25a3 and a436a08.

📒 Files selected for processing (1)

• src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java

⏰ Context from checks skipped due to timeout of 90000ms. You can increase the timeout in your CodeRabbit configuration to a maximum of 15 minutes (900000ms). (1)

• GitHub Check: check-application

🔇 Additional comments (2)

src/main/java/org/ject/support/common/security/jwt/JwtAuthenticationFilter.java (2)

70-70: LGTM!

검증 실패 시 verificationToken 쿠키를 명시적으로 제거하는 로직이 적절하게 구현되었습니다. accessToken 처리와 일관성 있는 패턴을 따르고 있습니다.

---

66-67: extractEmailFromVerificationToken 메서드는 존재하며 정상 작동합니다

jwtTokenProvider.extractEmailFromVerificationToken() 메서드는 JwtTokenProvider 클래스에 구현되어 있으며, null을 반환하지 않습니다. 메서드는 토큰을 파싱하고 type이 "verification"인지 검증한 후 subject(이메일)를 반환하거나 JwtException을 던집니다. 따라서 NPE 발생 위험은 없습니다.

다만, validateToken()은 토큰의 서명과 만료 시간만 검증하고 토큰 type은 검증하지 않으므로, extractEmailFromVerificationToken()에서 발생하는 JwtException(유효하지 않은 토큰 타입)이 필터 레벨에서 처리되지 않을 수 있습니다. 만약 다른 종류의 유효한 JWT(예: 만료되지 않은 access token)가 verification token 쿠키에 저장되면, validateToken() 통과 후 extractEmailFromVerificationToken()에서 예외가 발생합니다. 이 경우를 대비해 try-catch로 감싸거나 validateToken()에서 token type도 함께 검증하는 것을 고려하세요.