비밀번호 재설정 기능

강제 비밀번호 변경

• 초기 로그인 시 강제 변경: needsPasswordReset 플래그로 비밀번호 변경 요구
• 모달 기반 변경: 로그인 후 즉시 비밀번호 변경 모달 표시
• 취소 시 로그아웃: 비밀번호 변경을 거부하면 자동 로그아웃 처리
• 다른 기능 접근 제한: 비밀번호 변경 완료 전까지 다른 기능 사용 불가

// 로그인 시 비밀번호 재설정 필요 여부 확인
public LoginResult login(LoginRequestDto loginDto) {
    User user = userRepository.findByEmail(loginDto.getEmail())
            .orElseThrow(() -> new UserNotFoundException("해당 이메일로 등록된 사용자가 없습니다."));

    if (!passwordEncoder.matches(loginDto.getPassword(), user.getPassword())) {
        throw new InvalidCredentialsException("비밀번호가 일치하지 않습니다.");
    }

    user.updateLastLogin();
    userRepository.save(user);

    Role userRole = getUserRole(user);
    String accessToken = jwtTokenService.createAccessToken(user.getId(), userRole, null);
    String refreshToken = jwtTokenService.createRefreshToken(user.getId());

    saveOrUpdateRefreshToken(user.getId(), refreshToken);

    return LoginResult.builder()
            .refreshToken(refreshToken)
            .accessToken(accessToken)
            .expiresIn(jwtTokenService.getAccessTokenTTL())
            .userId(user.getId())
            .email(user.getEmail())
            .name(user.getName())
            .role(userRole.name())
            .needsPasswordReset(user.getNeedsPasswordReset()) // 비밀번호 재설정 필요 여부
            .build();
}

비밀번호 유효성 검사

• 복잡도 요구사항: 8자 이상, 영문 대소문자, 숫자, 특수문자 포함
• 실시간 검증: 입력 중 실시간으로 비밀번호 규칙 확인
• 시각적 피드백: 각 규칙별 체크 표시로 사용자 가이드
• 서버 사이드 검증: 클라이언트 검증과 별도로 서버에서도 검증

// 비밀번호 유효성 검사
@ValidPassword
@Size(min = 8, max = 20, message = "비밀번호는 8자 이상 20자 이하여야 합니다.")
private String newPassword;

// 커스텀 비밀번호 검증기
public class PasswordValidator implements ConstraintValidator<ValidPassword, String> {
    @Override
    public boolean isValid(String password, ConstraintValidatorContext context) {
        if (password == null || password.isEmpty()) {
            return false;
        }

        // 최소 8자 이상
        if (password.length() < 8) {
            return false;
        }

        // 영문 대문자 포함
        if (!password.matches(".*[A-Z].*")) {
            return false;
        }

        // 영문 소문자 포함
        if (!password.matches(".*[a-z].*")) {
            return false;
        }

        // 숫자 포함
        if (!password.matches(".*[0-9].*")) {
            return false;
        }

        // 특수문자 포함
        if (!password.matches(".*[!@#$%^&*()_+\\\\\\\\-=\\\\\\\\[\\\\\\\\]{}|;':\\\\",./<>?].*")) {
            return false;
        }

        return true;
    }
}

비밀번호 변경 처리

• 현재 비밀번호 확인: 기존 비밀번호 일치 여부 검증
• BCrypt 해싱: 새 비밀번호를 안전하게 해시화하여 저장
• 재설정 플래그 해제: 변경 완료 시 needsPasswordReset을 false로 설정
• 트랜잭션 보장: 데이터 일관성을 위한 트랜잭션 처리

// 비밀번호 변경 처리
public void changePassword(Long userId, PasswordChangeRequestDto passwordChangeDto) {
    User user = userRepository.findById(userId)
            .orElseThrow(() -> new UserNotFoundException("해당 사용자가 존재하지 않습니다."));

    // 현재 비밀번호 확인
    if (!passwordEncoder.matches(passwordChangeDto.getCurrentPassword(), user.getPassword())) {
        throw new InvalidCredentialsException("현재 비밀번호가 일치하지 않습니다.");
    }

    // 새 비밀번호로 업데이트 (해시화 포함)
    user.updatePassword(passwordEncoder.encode(passwordChangeDto.getNewPassword()));
    userRepository.save(user);

    log.info("[Auth Service] 비밀번호 변경 완료 - userId: {}", userId);
}

// User 엔티티의 비밀번호 업데이트 메서드
public void updatePassword(String newHashedPassword) {
    this.password = newHashedPassword;
    this.needsPasswordReset = false; // 재설정 플래그 해제
}

프론트엔드 사용자 경험