## 현재 구현 - JWT 인증 필터에서 userId 검증 제외 경로를 문자열 contains 목록으로 관리합니다. - 선택 인증 경로도 method + url Set으로 하드코딩되어 있습니다. - SecurityConfig와 JwtAuthenticationFilter가 서로 다른 위치에서 경로 정책을 관리해 신규 API 추가 시 누락 가능성이 있습니다. ## 대체 방향 - SecurityConfig와 JWT 필터가 같은 정책 source를 보도록 정리합니다. - PathPattern 또는 RequestMatcher 기반으로 경로 매칭을 명시화합니다. - @AccessPolicy, @OptionalAuth 같은 선언적 annotation을 사용할 경우 HandlerMethod 기반 정책 해석을 검토합니다. - JWT 필터에서는 토큰 파싱과 인증 컨텍스트 구성에 집중하고, 접근 정책은 별도 계층으로 분리하는 방향을 검토합니다. ## JWT 필터에서 함께 고려할 점 - public endpoint: 토큰 없이 통과 - optional auth endpoint: 토큰이 있으면 인증 컨텍스트 구성, 없어도 anonymous로 통과 - required auth endpoint: 토큰이 없거나 유효하지 않으면 실패 - SecurityConfig 정책과 JwtAuthenticationFilter skip 정책이 충돌하지 않는지 테스트로 고정 ## 참고 - 보틀노트 기술 부채 감사 정리본의 인증 제외 경로 하드코딩 항목입니다.
현재 구현
대체 방향
JWT 필터에서 함께 고려할 점
참고