오! JWT 인증 기준을 email에서 memberId로 바꾼거 좋은데요? email은 변경될 수 있고 내부 식별자로 조회하는 것 좋은 것 같아요! 저도 적용해보겠습니다.

그런데 JWT 인증 복원은 memberId claim을 기준으로 이루어지는 것 같습니다. 그렇다면 email claim은 현재 흐름에서는 사용되지 않는 정보처럼 보였고, 인증 기준을 memberId로 잡는다면 JWT의 subject도 email 대신 memberId로 맞추는 방식도 가능할 것 같습니다!!

근데 윤샘은 db id uuid로 저장하는거 선호하시나요? auto-increment int 방식으로 구현하는 것 선호하시나요?

윤샘이 해당 부분에 더미를 두었던 이유를 추적해보며 왜 Member 엔티티에서 nullable=false를 이렇게 많이 지정했지? 생각해보았습니다.

이건 약간 OAuth 로그인 성공 = 서비스 가입 완료라는 시선이 잡혀있어서 그런 것 같습니다! (아님말고)

이미지의 와이어프레임처럼 서비스에서 필요한 추가적인 정보를 받아야 할 경우

방법 A. OAuth 성공 시 Member를 먼저 만든다
→ profileCompleted=false 또는 status=PENDING_PROFILE
→ 추가 정보 입력 완료 시 ACTIVE

방법 B. OAuth 성공 시 Member를 아직 만들지 않는다
→ socialUid/email 등을 임시 토큰이나 세션에 담음
→ 추가 정보 입력까지 끝난 뒤 Member 생성

위의 방법등을 사용하게 됩니다.

이렇게 보면 회원가입 상태 모델링 자체에서 비밀번호/생년월일/주소 없이 소셜 회원을 만들 수 있게 하거나, 아예 생성 시점을 뒤로 미루는 방식도 가능할 것 같은데 이 부분은 어떻게 생각하시는지 궁금합니다!

로그인 로직에서 먼저 사용자의 이메일을 검증하고, 비밀번호를 해싱해서 기존 값이랑 검증하는 흐름이 명확하게 잘 보입니다! 또 이메일이 존재하지 않을 때와 비밀번호가 틀렸을 때 에러메시지를 통일시키신 것을 보니 윤샘이 보안도 신경써주신 것 같다고 생각했습니다.

저는 사용자 검증 로직을 Spring Security의 AuthenticationManager.authenticate()에게 위임하는 방식으로 구현했는데, 이 방식을 이용하면 사용자를 검증하는 과정에서 Spring Security가 제공하는 보안 기능을 활용할 수 있다는 장점이 있더라고요! 특히 사용자가 존재하지 않을 때도 내부적으로 비밀번호 비교 연산을 진행해 타이밍 공격을 막을 수 있다고 합니다. (user enumeration이라구 하더라고용)
그리고 UserDetails에서 관리되는 계정 상태도 Spring Security에서 검증하기 때문에 나중에 사용자 계정 잠금이나 비활성화 같은 정책이 추가됐을 때에도 더 유지보수가 편리해진다는 장점도 있습니다!

물론 윤샘처럼 구현하는 것도 가독성 측면에서의 장점도 있는 것 같습니다. 다만 이미 Spring Security를 도입하신 만큼 기능을 활용하는 것도 고려해보시면 좋을 것 같습니다!! 😊

(아 그리고 로그인 요청 dto에 필드값 오타가 있습니다 ㅎㅎ)

윤샘은 인증 관련 로직을 PublicMemberController로 분리하셨네요! 클래스명을 보니까 인증 관련 로직이 아니더라도 인증이 필요없는 API들을 분리하려고 의도하신 것 같습니다. Member도메인 특성상 필요한 API가 많다보니 유지보수 측면에서도 윤샘처럼 클래스를 분리하는 것이 더 낫다고 생각합니다.

하지만 지금 역할 분리가 컨트롤러 계층에서만 되어있고, 서비스 계층은 MemberService에 Public, Private API가 모두 통합되어있는 것 같습니다! 이렇게 되면 분리의 의미가 약해지고 구조를 파악하는 데 헷갈릴 수 있겠다는 생각이 듭니다.

서비스 계층은 따로 분리하지 않으신 윤샘의 이유가 궁금합니다!

문제의 그 코드네요!!!! 고생하셨습니다 ㅎㅎ