사용자의 상품 상세페이지, 유저 정보 조회시 로그인된 사용자인지 검증하는 로직

[UJ15]

개요

8월 2일 재이, 마틴, 맥스, 워터 넷이 논의한 이슈입니다.

현재 로그인 하지 않은 유저가 접근 가능한 api는

• 상품 전체 조회 (메인 페이지)

• 상품 상세 조회

• 유저 정보 조회(유저 이름, 프로필 사진)입니다.

로그인 하지 않은 유저는 상세 페이지의 입찰하기 혹은 유저 조회시 내가 입찰, 판매한 상품조회가 불가능합니다.

상세페이지

유저 조회 두 가지 케이스

문제

• 상세 페이지에서는 자신이 올린 상품에 대해 입찰을 할 수 없습니다.
• 유저 조회시 자신의 유저 조회는 입찰한 상품 목록과 판매한 상품 목록을 확인할 수 있습니다.

그럼 각 페이지에서 해당 게시물이 현재 로그인된 유저가 자기 자신인지 확인해야하는 작업이 필요합니다.

이야기 나온 방법은 두 가지입니다.

첫 번째 방법 [O]

프론트에서 검증

1. 현재 로그인한 유저의 id만 갖고오는 api 요청이 존재한다.
2. 매번 조회 요청시 상세페이지 조회 요청, 현재 로그인한 유저 id 요청을 각각 보낸다.
3. 상세페이지 조회, 유저 정보 조회시 Response에 있는 유저(writer) id와 현재 로그인한 유저 id가 일치하는지 프론트단에서 검사한다.

두 번째 방법

서번에서 검증

1. 해당 요청시 토큰이 있을경우 게시글과 토큰내에 유저 id가 같은지 검사한다.
2. 검사 결과에 따라 isMine 이라는 boolean 타입 필드를 응답에 같이 보내준다.

이야기 해본 결과 현재 프론트에서 서버사이드 렌더링으로 페이지를 미리 뿌려주는데 두 번째 방법으로 하면 이미 나와있는 페이지에서 토큰을 담은 상태로 같은 요청을 한 번 더 해야하는 상황으로 첫 번째 방법으로 하는게 좋을것 같다고 말씀해주셔서 첫 번째 방식으로 진행하게 되었습니다.

[youngjunryu]

네엡!