개발일지-7 [👨‍🍳판매자 도메인: ID/PW 찾기]

판매자 도메인 기능 정의 포스팅

---

아이디 찾기 및 비밀번호 재설정 화면

--

5. /jat/sellers/lost

아이디/비밀번호를 잃어버렸을 때, SMS인증번호 요청을 통해 로그인 정보에 접근

• nurigo sdk 에서 제공하는 SMS API 서비스를 이용해 본인인증을 구현하기로 하였다.
  -> SMS 문자 인증 포스팅
• 원래는 PortOne에서 제공하는 PASS 를 통해서 본인인증을 하려고 했으나, 사업자 등록증이 필요해서 실패..
• 아이디 찾기는 이름, 휴대폰 번호를 가입한 회원정보에 맞게 보내고,
• 비밀번호 재설정은 아이디, 휴대폰 번호를 가입한 회원정보에 맞게 보내는 방식으로 구현하였다.
• Redis를 통해 일정 기간만 유효한 값을 만들고 싶었지만, 간단하게 SMS 테이블을 만들어서 구현하였다.

• 아이디 찾기, 비밀번호 재설정 요청에 따른 인증번호 값을 저장하기 위한 테이블이다.
• Status 값 - "I : 아이디 찾기", "P : 비밀번호 재설정", "S : 회원가입 시 인증"
• 유효한 인증번호는 항상 해당 전화번호, 이름/아이디로 들어온 요청에 대해서 3분 이내 생성된 인증번호 중 가장 최근 값을 이용해 인증을 구현하였다.

(1) 로직 플로우
1. 아이디 찾기 : 이름, 핸드폰 번호를 Body에 담아 POST로 보냄
2. 비밀번호 찾기 : 아이디, 핸드폰 번호를 Body에 담아 POST로 보냄
3. 아이디 찾기, 비밀번호 찾기인지 필드값을 확인하여 판별.
4. 올바른 회원인지 식별
5. 랜덤 인증번호 생성 후 문자 전송
6. DB에 전송된 인증 타입 및 인증 번호 저장.

• 요청 바디 [SmsCertificateReq.java]
  아이디/ 비밀번호 찾기 모두 다 전화번호를 입력하는 것은 동일,
  아이디 찾기는 이름을 보내고, 비밀번호 찾기는 아이디를 보내는 것으로 명세서에 작성하여 프론트와 협의를 보았다.
  

• SellerController.java

• SellerService.java

@Transactional(rollbackFor = BaseException.class)
    public int lostIdAndPw(SmsCertificateReq smsCertificateReq) throws BaseException {
        // 1) 올바른 바디 value로 요청되지 않았을때
        if(smsCertificateReq.getPhoneNum() == null &&
                (smsCertificateReq.getName() == null|| smsCertificateReq.getUid() == null)){
            throw new BaseException(REQUEST_ERROR); // 2000 : 입력값을 확인해주세요
        }

        // 2) 인증 타입 설정
        String findType;
        if (smsCertificateReq.getName() != null && smsCertificateReq.getUid() == null){
            findType = "I"; // ID 찾기는 이름 != null && 아이디 == null
        }
        else if (smsCertificateReq.getName() == null && smsCertificateReq.getUid() != null){
            findType = "P"; // PW 찾기는 아이디 != null && 이름 == null
        }
        else{
            throw new BaseException(REQUEST_ERROR); // 2000 : 입력값을 확인해주세요
        }

        // 3) 가입하지 않은 회원일때
        int sellerValidCheck = sellerDao.validLoginInfo(smsCertificateReq, findType);
        if (sellerValidCheck == 0){
            throw new BaseException(POST_USERS_NOT_FOUND); // 2021 : 가입되지 않은 회원입니다.
        }

        // 4) 랜덤 인증번호 생성 (번호)
        Random rand  = new Random();
        String certificationNum = "";
        for(int i=0; i<6; i++) {
            String ran = Integer.toString(rand.nextInt(10));
            certificationNum+=ran;
        }

        // 5) cool SMS인증번호 발송
        try{
            // 인증 메시지 생성
            Message message = new Message();
            message.setFrom("01043753181");
            message.setTo(smsCertificateReq.getPhoneNum());
            message.setText((findType == "I"? "Jatteoli 아이디 찾기\n인증번호" : "Jatteoli 비밀번호 찾기\n인증번호") + " : ["+certificationNum+"]");

            // coolSMS API 사용하여 사용자 핸드폰에 전송
            SingleMessageSentResponse response = this.messageService.sendOne(new SingleMessageSendingRequest(message));
            log.info("coolSMS API요청 :{}", response);

            // DB에 전송 인증정보 저장
            int smsSendRes = smsDao.smsSend(smsCertificateReq, certificationNum, findType);

            return smsSendRes;
        }catch(Exception exception){
            throw new BaseException(COOLSMS_API_ERROR); // 5010 : SMS 인증번호 발송을 실패하였습니다.
        }
    }

• 아이디 찾기인지 비밀번호 재설정 요청인지 컨트롤러에서 구별했으면 코드가 더 깔끔했을 것 같은데.. 타입 설정이나 DB에 저장하는 기준을 너무 하나만 바라보고 처리하였다..
• 반환 값은 DB에 저장된 smsIdx 값을 주었다.

• SellerDao.java

public int validLoginInfo(SmsCertificateReq smsCertificateReq, String findType){
        String query = "SELECT EXISTS(" +
                "SELECT * FROM Merchandisers M " +
                (findType.equals("I") ? "WHERE M.name = ? AND M.phone = ?)" : "WHERE M.uid = ? AND M.phone = ?)");

        Object[] params = new Object[]{
                (findType.equals("I") ?smsCertificateReq.getName() : smsCertificateReq.getUid()),
                smsCertificateReq.getPhoneNum()
        };
        return this.jdbcTemplate.queryForObject(query, int.class, params);
    }

public int smsSend(SmsCertificateReq smsCertificateReq, String certificationNum, String checkType){
        String query = "INSERT INTO Sms(phone, name, uid, certification_num, status)" +
                "VALUES(?, ?, ?, ?, ?);";

        Object[] params = new Object[]{
                smsCertificateReq.getPhoneNum(),
                smsCertificateReq.getName() == null ? null : smsCertificateReq.getName(),
                smsCertificateReq.getUid() == null ? null : smsCertificateReq.getUid(),
                certificationNum,
                checkType
        };

        this.jdbcTemplate.update(query, params);

        String lastInsertIdQuery = "select last_insert_id()";
        return this.jdbcTemplate.queryForObject(lastInsertIdQuery,int.class);
    }

---

6. /jat/sellers/id-find, /jat/sellers/pw-find

id-find : 아이디 찾기 번호 인증 요청 후 인증번호를 입력 해서 아이디 찾기 요청

pw-find: 비밀번호 재설정 번호 인증 요청 후 인증 번호를 입력 해서 비밀번호 재설정 요청

• 마찬가지로 모든 번호 인증은 SMS 인증으로 구현하였다. -> SMS 문자 인증 포스팅
• 위에 있는 5. /jat/sellers/lost 와 똑같은 양식에 핸드폰으로 수신받은 인증번호를 추가로 Body에 담아 POST로 요청한다.

• 요청 바디 [ReceivedNumConfReq.java]
  

• SellerController.java
  
• id-find: 아이디 찾기는 한 사용자가 여러 개의 가입정보를 가질 수 있으며 아이디, 생성날짜를 리스트 형태로 반환하였고,
• pw-find: 비밀번호는 본인 외에 바꾸면 안되기에, 다음 재설정 요청에서 인가된 접근을 할 수 있도록 jwt를 포함하여 반환한다.

• SellerService.java

// 아이디 찾기
public List<ReceivedNumConfRes> idFind(ReceivedNumConfReq receivedNumConfReq) throws BaseException{
        try{
            int smsIdx = smsDao.smsCheckId(receivedNumConfReq);

            if (smsIdx == 1){
                return sellerDao.idFind(receivedNumConfReq);
            }
            else{
                throw new BaseException(SMS_CERTIFICATE_FAILED); // 4022 : SMS 인증 실패
            }

        }catch(Exception exception){
            throw new BaseException(SMS_DATA_FIND_ERROR); // 4021 : 유효하지 않은 SMS 인증번호 요청입니다.
        }
    }

// 비밀번호 찾기
public ReceivedNumConfPwRes pwFind(ReceivedNumConfReq receivedNumConfReq) throws BaseException{
        try{
            int smsIdx = smsDao.smsCheckPw(receivedNumConfReq);

            if (smsIdx == 1){
                int sellerIdx = sellerDao.JwtForRestorePw(receivedNumConfReq);
                String jwt = jwtTokenProvider.createJwt(sellerIdx, "Merchandiser");
                return new ReceivedNumConfPwRes(jwt, receivedNumConfReq.getUid(), 1);
            }
            else{
                throw new BaseException(SMS_CERTIFICATE_FAILED); // 4021 : 비밀번호 암호화에 실패하였습니다
            }
        }catch(Exception exception){
            throw new BaseException(SMS_DATA_FIND_ERROR); // 4022 : SMS 인증 실패
        }
    }

• SmsDao.java

// 아이디 찾기 : 아이디 찾기 전 인증 요청을 보냈을 때 발생한 인증번호를 현시각으로부터 3분이내,
//             요청한 전화번호와 이름으로 가입된 회원의 마지막 발생 인증번호를 조회한다.
public int smsCheckId(ReceivedNumConfReq receivedNumConfReq) {
        String query = "SELECT EXISTS(\n" +
                "    SELECT\n" +
                "        * \n" +
                "    FROM Sms WHERE phone = ?\n" +
                "               AND name = ?\n" +
                "               AND certification_num = ?\n" +
                "               AND status = 'I'\n" +
                "               AND created >= DATE_ADD(NOW(), INTERVAL -3 MINUTE) \n" +
                "            ORDER BY created DESC LIMIT 1" +
                "    )";

        Object[] params = new Object[]{
                receivedNumConfReq.getPhoneNum(),
                receivedNumConfReq.getName(),
                receivedNumConfReq.getCertificationNum()
        };

        return this.jdbcTemplate.queryForObject(query, int.class, params);
    }

// 비밀번호 찾기 : 아이디 찾기와 같은 시간 범위에서 마지막 인증번호를 조회하여 비교한다.
//               존재한다면, 비밀번호 재설정 가능.
public int smsCheckPw(ReceivedNumConfReq receivedNumConfReq){
        String query = "SELECT EXISTS(\n" +
                "    SELECT\n" +
                "        *\n" +
                "    FROM Sms WHERE phone = ? \n" +
                "               AND uid = ? \n" +
                "               AND certification_num = ? \n" +
                "               AND status = 'P'\n" +
                "               AND created >= DATE_ADD(NOW(), INTERVAL -3 MINUTE) \n" +
                "            ORDER BY created DESC LIMIT 1" +
                "    )";

        Object[] params = new Object[]{
                receivedNumConfReq.getPhoneNum(),
                receivedNumConfReq.getUid(),
                receivedNumConfReq.getCertificationNum()
        };

        return this.jdbcTemplate.queryForObject(query, int.class, params);
    }

---

7. /jat/sellers/pw-restore

비밀번호 재설정 요청

• 6. /jat/sellers/pw-find 요청 이후, 알맞은 인증번호로 인증이 완료되면, 비밀번호 재설정 화면으로 넘어가게 된다.
• 만일 해당 URI로 의도치 않은 접근을 통해 유저의 PW를 다른 사람이 변경하려한다면, 안되기 때문에 비밀번호 재설정 전 인증 과정에서 발행한 JWT 토큰을 헤더에 담아서 반드시 요청하도록 구현하기로 하였다.

(1) 로직 플로우
1. 바꿀 비밀번호와, 올바르게 입력했는지 확인용 비밀번호를 Patch로 요청받는다.
2. 두 비밀번호 값이 같은지 비교한다.
3. 같다면 SHA256 암호화 알고리즘을 통해 다시 암호화하고,
4. DB에 해당 유저의 password 칼럼의 값을 수정한다.

• 요청 바디 [RestorePwReq.java]
  

• SellerController.java
  

• SellerService.java
  -> 암호화 관련 포스팅

 @Transactional(rollbackFor = BaseException.class)
    public RestorePwRes pwRestore(RestorePwReq restorePwReq, int sellerIdx) throws BaseException{
        if (!restorePwReq.getPw().equals(restorePwReq.getPwCheck())){
            throw new BaseException(MODIFY_FAIL_USERPASSWORD); // 4015 : 유저 비밀번호 수정 실패
        }

        String pwd, salt;
        try{
            salt = SHA256.createSalt(restorePwReq.getPw()); // 비밀번호를 이용하여 salt 생성
            pwd = new SHA256().encrypt(restorePwReq.getPw(), salt); // 비밀번호 암호화
        }catch(Exception exception){
            throw new BaseException(PASSWORD_ENCRYPTION_ERROR); // 4011 : 비밀번호 암호화에 실패하였습니다.
        }

        try{
            sellerDao.pwRestore(sellerIdx, salt, pwd);
            return new RestorePwRes(0,1);
        }catch(Exception exception){
            throw new BaseException(MODIFY_FAIL_USERPASSWORD); // 4015 : 유저 비밀번호 수정 실패
        }
    }

• SellerDao.java
  -> jwt를 통해 넘겨 받은 판매자 식별 Id로 DB테이블에 값을 UPDATE하였다.

public void pwRestore(int sellerIdx, String salt, String pwd) {
        String query = "UPDATE Merchandisers\n" +
                "SET salt = ? , password = ?\n" +
                "WHERE sellerIdx = ?";

        Object[] params = new Object[]{
                salt,
                pwd,
                sellerIdx
        };

        this.jdbcTemplate.update(query, params);
    }

---

이제 회원제, 로그인에 관련된 기능은 모두 포스팅 완료하였다.
다음 포스팅은 마지막으로 해당 플로우데로 모두 API 테스트를 진행하고 DB에 저장되는 값도 확인해 보겠음.