e228faabf5
G-1: 메신저 Webhook Relay + _send_to_room 실제 httpx 호출 구현 G-2: POST /api/tasks/bulk SR 대량작업 엔드포인트 (최대 100건) G-3: 라이선스 만료 알림 스케줄러 (매일 09:00 KST) G-4: 체험판 upgrade_banner 필드 + license.py 배너 로직 G-5: core/auto_rca.py + incidents/problem auto-rca 엔드포인트 G-6: core/deploy_impact.py + vibe impact-analysis 엔드포인트 G-7: core/ticket_classifier.py + SR 생성 시 AI 분류 + ai-suggestion API G-8: VulnPatchRecord 모델 + vuln_scan 패치추적 4개 엔드포인트 G-9: core/jira_sync.py + gateway Jira/Confluence 연동 엔드포인트 G-10: core/push_notify.py + routers/push.py + PushSubscription 모델 G-11: approvals 다중승인 (위임/서명/기한초과/마감연장) G-12: alembic.ini + migrations/ + cicd/migrate_to_postgres.sh 하네스: guardia-orchestrator 확장기능 Phase 반영 봇명령어: /sr /status /license /bulk 슬래시 명령어 추가 설치스크립트: setup/ (Ubuntu, CentOS, RHEL, Windows) --test 옵션 포함 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
36 lines
1.2 KiB
Python
36 lines
1.2 KiB
Python
"""인증 API — 코드 리뷰 testcase: 보안 취약점 포함"""
|
|
from fastapi import APIRouter, Depends, HTTPException
|
|
from sqlalchemy.orm import Session
|
|
from app.models.employee import Employee
|
|
from app.database import get_db
|
|
from pydantic import BaseModel
|
|
|
|
router = APIRouter()
|
|
|
|
|
|
class LoginRequest(BaseModel):
|
|
emp_no: str
|
|
password: str
|
|
|
|
|
|
@router.post("/login")
|
|
def login(req: LoginRequest, db: Session = Depends(get_db)):
|
|
"""
|
|
보안이슈:
|
|
1. 패스워드 평문 비교 (bcrypt/argon2 미사용)
|
|
2. 무차별 대입 공격(brute force) 방어 없음
|
|
3. JWT 토큰 발급 없이 평문 응답
|
|
4. 로그인 실패 시 구체적 에러 메시지 (user enumeration)
|
|
"""
|
|
emp = db.query(Employee).filter(Employee.emp_no == req.emp_no).first()
|
|
if not emp:
|
|
raise HTTPException(status_code=401, detail="직원 번호를 찾을 수 없습니다") # user enumeration
|
|
if emp.password != req.password: # 평문 비교
|
|
raise HTTPException(status_code=401, detail="패스워드가 틀렸습니다")
|
|
return {
|
|
"success": True,
|
|
"emp_id": emp.id,
|
|
"name": emp.name,
|
|
"salary": str(emp.salary), # 급여 응답에 포함
|
|
}
|