Request 서명 시스템 삭제

보안에 큰 도움이 되지 않는다고 판단하여 삭제하였습니다. 판단 근거는 다음과 같습니다. 1. Web Crypto API는 HTTPS 환경에서만 사용할 수 있음 2. 프론트엔드와 백엔드가 하나의 서버에서 제공되므로, 리버스 프록시에 의한 중간자 공격을 받지 않는가에 대한 직관적인 검증이 불가능함 3. 신뢰할 수 없는 리버스 프록시는 애초에 사용하지 않는 것이 맞음 다만 MEK에 대한 서명 등은 그대로 유지됩니다.
2025-12-16 06:58:46 +00:00 · 2025-01-06 03:47:33 +09:00
parent 9fad26d538
commit 6bf40e4ab4
13 changed files with 57 additions and 175 deletions
--- a/src/routes/api/directory/[id]/rename/+server.ts
+++ b/src/routes/api/directory/[id]/rename/+server.ts
@@ -1,26 +1,24 @@
 import { error, text } from "@sveltejs/kit";
 import { z } from "zod";
 import { authorize } from "$lib/server/modules/auth";
-import { parseSignedRequest } from "$lib/server/modules/crypto";
 import { directoryRenameRequest } from "$lib/server/schemas";
 import { renameDirectory } from "$lib/server/services/directory";
 import type { RequestHandler } from "./$types";

 export const POST: RequestHandler = async ({ request, cookies, params }) => {
-  const { userId, clientId } = await authorize(cookies, "activeClient");
+  const { userId } = await authorize(cookies, "activeClient");

-  const zodRes = z
+  const paramsZodRes = z
    .object({
      id: z.coerce.number().int().positive(),
    })
    .safeParse(params);
-  if (!zodRes.success) error(400, "Invalid path parameters");
-  const { id } = zodRes.data;
-  const { name, nameIv } = await parseSignedRequest(
-    clientId,
-    await request.json(),
-    directoryRenameRequest,
-  );
+  if (!paramsZodRes.success) error(400, "Invalid path parameters");
+  const { id } = paramsZodRes.data;
+
+  const bodyZodRes = directoryRenameRequest.safeParse(await request.json());
+  if (!bodyZodRes.success) error(400, "Invalid request body");
+  const { name, nameIv } = bodyZodRes.data;

  await renameDirectory(userId, id, name, nameIv);
  return text("Directory renamed", { headers: { "Content-Type": "text/plain" } });