🐛 fix : OAuth2 리다이렉트 URI 환경별 자동 선택

[ThreeeJ]

🔍 관련 이슈

• close fix : OAuth2 리다이렉트 URI 환경별 자동 선택 #44

✅ 작업 분류

• 버그 수정
• 신규 기능
• 프로젝트 구조 변경
• 코드 리팩토링
• 기능 수정

✨ 작업 내용

• application.properties의 app.oauth2.front-redirect-uri를 .local / .deploy 두 개로 분리
• CookieOAuth2AuthorizationRequestRepository에 REDIRECT_TARGET_COOKIE 상수 추가
• OAuth 시작 시점(saveAuthorizationRequest)에서 요청의 Referer 헤더를 보고 "local" 또는 "deploy"를 쿠키에 저장
• OAuth2LoginSuccessHandler에서 위 쿠키를 읽어 환경별 프론트 리다이렉트 URI를 선택, 사용 후 쿠키 삭제
• Referer가 없는 경우(브라우저 정책, 주소창 직접 입력 등) deploy로 폴백

👥 전달사항

✅ 체크리스트

• 코드가 컴파일 및 빌드됨
• 모든 테스트가 통과함
• 관련 문서가 업데이트됨
• 커밋 메시지를 확인함

📸 스크린샷

💡 배운 것 / 시도한 것 / 고민한 점

[gemini-code-assist]

Code Review

This pull request introduces dynamic OAuth2 redirect URI selection by identifying whether the request originates from a local or deployed environment. It achieves this by checking the 'Referer' header in the CookieOAuth2AuthorizationRequestRepository and storing the target environment in a cookie, which is then used by the OAuth2LoginSuccessHandler to determine the final redirect URL. Review feedback suggested improving the security of the environment detection logic to prevent spoofing via the 'Referer' header and recommended using constants instead of hardcoded strings for better maintainability and consistency across the codebase.

[gemini-code-assist]

"local" 및 "deploy"와 같은 환경 식별 문자열을 상수로 정의하여 관리하면 오타를 방지하고 OAuth2LoginSuccessHandler 등 다른 클래스에서 안전하게 재사용할 수 있습니다.

Suggested change

	public static final String REDIRECT_TARGET_COOKIE = "redirect_target";
	public static final String REDIRECT_TARGET_COOKIE = "redirect_target";
	public static final String TARGET_LOCAL = "local";
	public static final String TARGET_DEPLOY = "deploy";

[gemini-code-assist]

referer.contains("localhost") 조건은 http://attacker.com/localhost와 같이 도메인이 아닌 경로에 localhost가 포함된 경우에도 의도치 않게 local 환경으로 오판할 위험이 있습니다. startsWith를 사용하여 호스트 부분을 보다 명확하게 검사하는 것이 안전합니다.

Suggested change

	String target = (referer != null && referer.contains("localhost")) ? "local" : "deploy";
	String target = (referer != null && (referer.startsWith("http://localhost") || referer.startsWith("https://localhost"))) ? TARGET_LOCAL : TARGET_DEPLOY;

[gemini-code-assist]

하드코딩된 문자열 대신 CookieOAuth2AuthorizationRequestRepository에 정의된 상수를 사용하여 코드의 일관성을 유지하고 유지보수성을 높이는 것을 권장합니다.

Suggested change

	.orElse("deploy");
	String redirectUri = "local".equals(target) ? localRedirectUri : deployRedirectUri;
	.orElse(CookieOAuth2AuthorizationRequestRepository.TARGET_DEPLOY);
	String redirectUri = CookieOAuth2AuthorizationRequestRepository.TARGET_LOCAL.equals(target) ? localRedirectUri : deployRedirectUri;