Request 서명 시스템 삭제

보안에 큰 도움이 되지 않는다고 판단하여 삭제하였습니다. 판단 근거는 다음과 같습니다.

1. Web Crypto API는 HTTPS 환경에서만 사용할 수 있음
2. 프론트엔드와 백엔드가 하나의 서버에서 제공되므로, 리버스 프록시에 의한 중간자 공격을 받지 않는가에 대한 직관적인 검증이 불가능함
3. 신뢰할 수 없는 리버스 프록시는 애초에 사용하지 않는 것이 맞음

다만 MEK에 대한 서명 등은 그대로 유지됩니다.

src/routes/api/file/upload/+server.ts

@@ -1,27 +1,23 @@
 import { error, text } from "@sveltejs/kit";
 import { authorize } from "$lib/server/modules/auth";
-import { parseSignedRequest } from "$lib/server/modules/crypto";
 import { fileUploadRequest } from "$lib/server/schemas";
 import { uploadFile } from "$lib/server/services/file";
 import type { RequestHandler } from "./$types";
 
 export const POST: RequestHandler = async ({ request, cookies }) => {
-  const { userId, clientId } = await authorize(cookies, "activeClient");
+  const { userId } = await authorize(cookies, "activeClient");
 
   const form = await request.formData();
-
   const metadata = form.get("metadata");
-  if (!metadata || typeof metadata !== "string") {
-    error(400, "Invalid request body");
-  }
-  const { parentId, mekVersion, dek, contentHash, contentIv, name, nameIv } =
-    await parseSignedRequest(clientId, JSON.parse(metadata), fileUploadRequest);
-
   const content = form.get("content");
-  if (!content || !(content instanceof File)) {
+  if (typeof metadata !== "string" || !(content instanceof File)) {
     error(400, "Invalid request body");
   }
 
+  const zodRes = fileUploadRequest.safeParse(JSON.parse(metadata));
+  if (!zodRes.success) error(400, "Invalid request body");
+  const { parentId, mekVersion, dek, contentIv, name, nameIv } = zodRes.data;
+
   await uploadFile(
     {
       userId,
@@ -33,7 +29,6 @@ export const POST: RequestHandler = async ({ request, cookies }) => {
       encNameIv: nameIv,
     },
     content.stream(),
-    contentHash,
   );
   return text("File uploaded", { headers: { "Content-Type": "text/plain" } });
 };