🔍 Spring CSR 강의용 프로젝트 — 전체 코드 리뷰 결과

리뷰 일시: 2026-04-01
대상: Security / JWT / OAuth2 / 게시판(Community) / 댓글(Comment) / 파일(File) / 채팅(STOMP) 전 영역

---

✅ 총평

강의용 프로젝트로서 구조, 흐름, 주석 설명 모두 우수합니다.
JWT + OAuth2 + STOMP까지 CSR 방식으로 일관되게 구현되어 있고, 패키지 분리(controller/service/repository/entity/model/handler/filter)도 깔끔합니다.

아래는 실제 동작에 영향을 줄 수 있는 버그/문제와 강의 품질 향상을 위한 개선사항을 구분하여 정리한 것입니다.

---

🔴 [실제 버그 / 동작 오류] — 수정 권장

1. AppOAuth2Controller — Refresh 토큰 DB 미저장

파일: jwt/controller/AppOAuth2Controller.java (line ~98)

// 현재 코드: refreshToken을 생성만 하고 DB에 저장하지 않음
String accessToken = jwtUtil.createAccessToken(username);
String refreshToken = jwtUtil.createRefreshToken(username);
// ← refreshService.saveRefresh(refreshToken) 호출이 없음!

문제: 앱에서 OAuth2 로그인 후 받은 refreshToken으로 /api/tokens/refresh 호출 시,
DB에 토큰이 없으므로 “폐기된 토큰” 에러 발생 → 토큰 재발급 불가

수정: refreshService.saveRefresh(refreshToken); 추가 필요

---

2. RefreshController — 쿠키 secure 하드코딩

파일: jwt/controller/RefreshController.java (line ~113)

private void addCookie(HttpServletResponse response, String name, String value) {
    ResponseCookie cookie = ResponseCookie.from(name, value)
            .httpOnly(true)
            .secure(false) // ❌ 하드코딩! TODO 주석만 있고 실제 미적용
            .sameSite("Lax")
            .path("/")
            .build();

문제: JwtLoginFilter와 OAuth2LoginSuccessHandler는 @Value("${app.cookie.secure}") 로 환경별 분기하는데,
RefreshController만 false 하드코딩. 운영(HTTPS) 배포 시 쿠키 보안 불일치.

수정: @Value("${app.cookie.secure:false}") private boolean secureCookie; 주입 후 사용

---

3. data-init.sql — 존재하지 않는 테이블 참조

파일: resources/data-init.sql

DELETE FROM reviews;      -- ❌ reviews 테이블/엔티티 없음
DELETE FROM doll_shop;    -- ❌ doll_shop 테이블/엔티티 없음

문제: 이전 프로젝트에서 남은 잔재. data-init.sql은 현재 application.yml의 data-locations에 포함되어 있지 않아
로컬에서는 실행되지 않지만, 운영 환경에서 sql.init.mode: never이므로 역시 실행 안 됨.
다만 혼란을 줄 수 있으므로 정리 권장.

---

4. test/resources/application.yml — 존재하지 않는 SQL 파일 참조

파일: src/test/resources/application.yml

data-locations:
  - classpath:data-users.sql
  - classpath:data-dollshop.sql   # ❌ 파일 없음 → 테스트 시 오류
  - classpath:data-files.sql
  - classpath:data-review.sql     # ❌ 파일 없음 → 테스트 시 오류

문제: data-dollshop.sql, data-review.sql 파일이 존재하지 않아 테스트 실행 시 오류 발생.
또한 data-community.sql, data-comment.sql, data-rooms.sql이 누락되어 있음.

수정: 메인 application.yml과 동일하게 맞추기:

data-locations:
  - classpath:data-users.sql
  - classpath:data-files.sql
  - classpath:data-community.sql
  - classpath:data-comment.sql
  - classpath:data-rooms.sql

---

5. UserEntity.roles — List<String> JPA 매핑 문제

파일: jwt/entity/UserEntity.java

@Builder.Default
private List<String> roles = new ArrayList<>();

문제: @ElementCollection이나 @Convert 어노테이션 없이 List<String>을 필드로 사용.
JPA 기본 직렬화(Java Serialization → BLOB)에 의존하고 있으며, 실제 SQL에서도 0xACED... 바이너리로 저장됨.
동작은 하지만, 강의에서 설명 시 “왜 이렇게 저장되는지” 혼란을 줄 수 있고, DB에서 직접 조회/수정이 불가.

권장 개선 (선택):

@ElementCollection(fetch = FetchType.EAGER)
@CollectionTable(name = "user_roles", joinColumns = @JoinColumn(name = "user_id"))
@Column(name = "role")
@Builder.Default
private List<String> roles = new ArrayList<>();

단, 이 경우 data-users.sql도 변경 필요. 현재 방식이 의도적이라면 주석으로 설명 추가 권장.

---

🟡 [잠재적 문제 / 강의 품질 개선] — 개선 권장

6. QuerydslConfig 안에 SwaggerConfig 내부 클래스

파일: common/config/QuerydslConfig.java

Querydsl 설정 클래스 안에 Swagger 설정이 static class SwaggerConfig로 포함됨.
동작 문제는 없지만, 강의 시 “왜 Swagger 설정이 Querydsl 파일에?”라는 질문이 나올 수 있음.
별도 파일로 분리하거나, 클래스명을 AppConfig로 변경하는 것을 권장.

---

7. Swagger 설명 내용 불일치

파일: common/config/QuerydslConfig.java (line ~48)

.info(new Info()
    .title("인형뽑기방 API")  // ← 현재 프로젝트와 맞지 않음
    .description("인형뽑기방 서비스 REST API 문서")

FileEntity.RefType의 Javadoc에도 DOLL_SHOP, REVIEW, DOLL 등 이전 프로젝트 잔재가 남아있음.

해당 파일들:

• FileService.java — Javadoc에 DOLL_SHOP, COMMUNITY, REVIEW, DOLL
• FileController.java — Javadoc에 DOLL_SHOP, COMMUNITY, REVIEW, DOLL
• FileEntity.RefType enum — 실제로는 COMMUNITY, USER만 존재 (정상)

---

8. CommentService.createComment — 삭제된 게시글에도 댓글 작성 가능

파일: community/comment/CommentService.java (line ~44)

CommunityEntity community = communityRepository.findById(createDTO.getCommunityId())  
    // ← findByIdAndIsDeletedFalse()가 아닌 findById() 사용

문제: 소프트 삭제된 게시글에도 댓글 작성이 가능함.

수정:

communityRepository.findByIdAndIsDeletedFalse(createDTO.getCommunityId())

---

9. SecurityConfig — authorizeHttpRequests 두 번 호출

파일: jwt/config/SecurityConfig.java (line 56, 79)

http.authorizeHttpRequests(auth -> auth
    .requestMatchers("/h2-console/**").permitAll()  // 첫 번째 호출
);
// ...
http.authorizeHttpRequests(auth -> auth        // 두 번째 호출
    .requestMatchers("/css/**", ....).permitAll()

문제: authorizeHttpRequests()를 두 번 호출하면 마지막 설정만 적용됨.
첫 번째 H2 콘솔 설정이 두 번째에서 덮어써져 무시될 수 있음.
(실제로 두 번째 블록에 /h2-console/**이 다시 포함되어 있어 동작은 하지만, 설명 시 혼란 가능)

권장: 하나의 authorizeHttpRequests() 블록으로 통합하거나, H2 관련 설정을 두 번째 블록에만 남기기.

---

10. DemoApplication — 환경변수 콘솔 출력

파일: DemoApplication.java

System.out.println("KAKAO_CLIENT_ID: " + context.getEnvironment().getProperty("KAKAO_CLIENT_ID"));
System.out.println("GOOGLE_CLIENT_ID: " + context.getEnvironment().getProperty("GOOGLE_CLIENT_ID"));

문제: 운영 환경에서 민감 정보(Client ID)가 콘솔/로그에 노출됨.
강의용이라 큰 문제는 아니지만, 학생들이 그대로 배포할 수 있으므로 주석 경고 권장.

---

🟢 [잘 된 부분] — 강의용으로 훌륭한 구현

영역	평가
JWT 토큰 구조	Access/Refresh 분리, token_type 클레임 활용, 만료 시 명확한 에러 코드 — 우수
필터 체인	JwtLoginFilter → JwtAccessTokenCheckAndSaveUserInfoFilter 순서 적절, 주석 설명 상세
OAuth2 통합	CustomUserAccount가 UserDetails + OAuth2User 동시 구현, OAuthProvider enum 패턴 — 깔끔
InMemoryAuthorizationRequestRepository	STATELESS 환경에서 session 대신 메모리 저장, 스케줄러로 5분 후 자동 삭제 — 잘 설계됨
웹/앱 분기	로그인, 로그아웃, 토큰 재발급 모두 Accept 헤더 또는 토큰 위치로 분기 — 일관성 있음
게시판 CRUD	Soft Delete, 작성자 검증, QueryDSL 동적 검색, 페이징 — 표준적 구현
댓글	N+1 방지(fetch join), 카운트 쿼리 최적화(IN 쿼리) — 성능 고려됨
파일 시스템	Strategy 패턴(Local/Supabase), @ConditionalOnProperty 활용 — 설계 패턴 학습에 좋음
STOMP 채팅	HTTP 핸드셰이크에서 쿠키 JWT 추출 → STOMP CONNECT에서 최종 인증 — 2단계 인증 잘 구현
예외 처리	BusinessException 계층 구조, GlobalExceptionHandler, ErrorResponse 통일 — 우수
API 응답 통일	ApiResponse<T>, PageResponse<T>, ErrorResponse 구조 일관성 — 강의용으로 적합

---

📋 수정 우선순위 요약

순위	항목	심각도	난이도
1	AppOAuth2Controller refreshToken DB 미저장	🔴 버그	1줄 추가
2	test/application.yml 존재하지 않는 SQL 참조	🔴 테스트 깨짐	설정 수정
3	RefreshController 쿠키 secure 하드코딩	🔴 운영 시 문제	2줄 수정
4	CommentService 삭제된 게시글 댓글 허용	🟡 로직 결함	1줄 수정
5	data-init.sql 잔재 테이블 참조	🟡 혼란 유발	2줄 삭제
6	Swagger/Javadoc 이전 프로젝트 잔재	🟡 강의 품질	텍스트 수정
7	SecurityConfig authorizeHttpRequests 중복	🟡 설명 혼란	구조 정리
8	QuerydslConfig + SwaggerConfig 혼재	🟢 선택	파일 분리

---