refactor: [관리자] 게시글 변경 및 삭제 시, 검증 로직 추가

d6nggyun · web-flow · commit 09a18a26fa3d · 2025-11-24T16:44:19.000+09:00
diff --git a/.gitignore b/.gitignore
@@ -36,6 +36,7 @@ out/
 ### VS Code ###
 .vscode/
 
+.env
 .env.*
 !.env.example
 logs
diff --git a/README.md b/README.md
@@ -1,77 +1,77 @@
-# CodIN Ticketing API
-
-<img width="1324" height="679" alt="image" src="https://github.com/user-attachments/assets/d3719539-a47e-4043-a57a-408570411762" />
-
-인천대학교 정보기술대학 티켓팅 시스템을 위한 Spring Boot REST API
-
-## 프로젝트 개요
-
-**CodIN Ticketing API** 는 인천대학교 정보기술대학의 다양한 **이벤트(간식 나눔, 행사 등)** 에 대한 **티켓팅 시스템** 을 제공 서버입니다.
-
-### 주요 기능
-
-<img width="10046" height="4961" alt="image" src="https://github.com/user-attachments/assets/53a52f4c-e766-4a9d-80cc-f1d507c19413" />
-
-[API Endpoint 문서](/API.md)
-
-- **이벤트 관리**: 티켓팅 이벤트 생성, 조회, 수정, 삭제
-- **사용자 프로필**: 수령자 정보 관리 (학과, 학번)
-- **티켓팅 참여**: 실시간 티켓팅 참여 및 교환권 발급
-- **전자 서명**: 수령 확인을 위한 전자 서명 기능
-- **관리자 기능**: 이벤트 관리, 수령 확인, 통계
-- **엑셀 다운로드**: 참여자 정보 엑셀 내보내기
-
-## 기술 스택
-
-- **Backend**: Spring Boot 3.5.3, Spring Security, Spring Data JPA, SSE
-- **Database**: MySQL 8.0
-- **MQ**: Redis Stream
-- **Authentication**: JWT
-
-## 데이터 모델
-
-<img width="2094" height="1186" alt="스크린샷 2025-07-24 18 12 10" src="https://github.com/user-attachments/assets/f124eb08-ffc9-4411-afbf-b56238273c01" />
-
-### 주요 엔티티
-
-- **Event**: 티켓팅 이벤트 정보
-- **Participation**: 이벤트별 참여자 정보 및 수령 상태
-- **Stock**: 티켓팅 이벤트 재고 정보
-
-**Enum Class**
-  - **Campus**: 캠퍼스 구분 (송도캠퍼스, 미추홀캠퍼스)
-  - **Department**: 학과 정보 (컴퓨터공학부, 정보통신공학과 등)
-
-## 외부 API 엔드포인트
-
-- CodIN Main API : https://github.com/CodIN-INU/BACKEND
--  `GET /api/users` : 유저 조회 엔드 포인트
-
-### 티켓팅 참여자 정보 엔드포인트
-
-- `GET /api/users/ticketing-participation` : 유저 티켓팅 참여자 정보 조회
-- `PUT /api/users/ticketing-participation` : 유저 티켓팅 참여자 정보 수정
-
-## 인증 및 권한
-
-- **JWT 토큰 기반 인증**
-  - JWT 토큰에서 User Email 추출 -> `SecurityContextHolder`
-  - SecurityUtils 클래스로 SecurityContextHolder 사용
-  - 유저 검증 과정에서 `UserClientService`를 호출해야함.
-  - User Role:
-    - `USER`: 일반 사용자 - 이벤트 조회, 티켓팅 참여
-    - `MANAGER`: 관리자 - 이벤트 관리, 수령 확인
-    - `ADMIN`: 최고 관리자 - 모든 권한
-
-## 개발 환경 설정
-
-- **도커 이미지 실행**
-  - `./docker/codin-db/docker-compose.yml` : MySQL, Redis 실행 도커 컴포즈 스크립트
-
-- **환경 변수 설정**
-  ```bash
-  # .env.example 파일을 복사해 필요한 값들을 수정
-  cp .env.example .env
-  ```
-
-
+# CodIN Ticketing API
+
+<img width="1324" height="679" alt="image" src="https://github.com/user-attachments/assets/d3719539-a47e-4043-a57a-408570411762" />
+
+인천대학교 정보기술대학 티켓팅 시스템을 위한 Spring Boot REST API
+
+## 프로젝트 개요
+
+**CodIN Ticketing API** 는 인천대학교 정보기술대학의 다양한 **이벤트(간식 나눔, 행사 등)** 에 대한 **티켓팅 시스템** 을 제공 서버입니다.
+
+### 주요 기능
+
+<img width="10046" height="4961" alt="image" src="https://github.com/user-attachments/assets/53a52f4c-e766-4a9d-80cc-f1d507c19413" />
+
+[API Endpoint 문서](/API.md)
+
+- **이벤트 관리**: 티켓팅 이벤트 생성, 조회, 수정, 삭제
+- **사용자 프로필**: 수령자 정보 관리 (학과, 학번)
+- **티켓팅 참여**: 실시간 티켓팅 참여 및 교환권 발급
+- **전자 서명**: 수령 확인을 위한 전자 서명 기능
+- **관리자 기능**: 이벤트 관리, 수령 확인, 통계
+- **엑셀 다운로드**: 참여자 정보 엑셀 내보내기
+
+## 기술 스택
+
+- **Backend**: Spring Boot 3.5.3, Spring Security, Spring Data JPA, SSE
+- **Database**: MySQL 8.0
+- **MQ**: Redis Stream
+- **Authentication**: JWT
+
+## 데이터 모델
+
+<img width="2094" height="1186" alt="스크린샷 2025-07-24 18 12 10" src="https://github.com/user-attachments/assets/f124eb08-ffc9-4411-afbf-b56238273c01" />
+
+### 주요 엔티티
+
+- **Event**: 티켓팅 이벤트 정보
+- **Participation**: 이벤트별 참여자 정보 및 수령 상태
+- **Stock**: 티켓팅 이벤트 재고 정보
+
+**Enum Class**
+  - **Campus**: 캠퍼스 구분 (송도캠퍼스, 미추홀캠퍼스)
+  - **Department**: 학과 정보 (컴퓨터공학부, 정보통신공학과 등)
+
+## 외부 API 엔드포인트
+
+- CodIN Main API : https://github.com/CodIN-INU/BACKEND
+-  `GET /api/users` : 유저 조회 엔드 포인트
+
+### 티켓팅 참여자 정보 엔드포인트
+
+- `GET /api/users/ticketing-participation` : 유저 티켓팅 참여자 정보 조회
+- `PUT /api/users/ticketing-participation` : 유저 티켓팅 참여자 정보 수정
+
+## 인증 및 권한
+
+- **JWT 토큰 기반 인증**
+  - JWT 토큰에서 User Email 추출 -> `SecurityContextHolder`
+  - SecurityUtils 클래스로 SecurityContextHolder 사용
+  - 유저 검증 과정에서 `UserClientService`를 호출해야함.
+  - User Role:
+    - `USER`: 일반 사용자 - 이벤트 조회, 티켓팅 참여
+    - `MANAGER`: 관리자 - 이벤트 관리, 수령 확인
+    - `ADMIN`: 최고 관리자 - 모든 권한
+
+## 개발 환경 설정
+
+- **도커 이미지 실행**
+  - `./docker/codin-db/docker-compose.yml` : MySQL, Redis 실행 도커 컴포즈 스크립트
+
+- **환경 변수 설정**
+  ```bash
+  # .env.example 파일을 복사해 필요한 값들을 수정
+  cp .env.example .env
+  ```
+
+
diff --git a/src/main/java/inu/codin/codinticketingapi/domain/admin/dto/request/EventCreateRequest.java b/src/main/java/inu/codin/codinticketingapi/domain/admin/dto/request/EventCreateRequest.java
@@ -49,23 +49,23 @@ public class EventCreateRequest {
     @NotNull(message = "티켓팅 이벤트 시작 시간은 필수입니다")
     @Future(message = "티켓팅 이벤트 시작 시간은 현재 시간보다 나중이어야 합니다")
     @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd'T'HH:mm:ss", timezone = "Asia/Seoul")
-    @Schema(description = "티켓팅 이벤트 시작 시간", example = "2025-07-25T10:00:00")
+    @Schema(description = "티켓팅 이벤트 시작 시간", example = "2025-12-25T10:00:00")
     private LocalDateTime eventTime;
 
     @NotNull(message = "티켓팅 이벤트 종료 시간은 필수입니다")
     @Future(message = "티켓팅 이벤트 종료 시간은 현재 시간보다 나중이어야 합니다")
     @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd'T'HH:mm:ss", timezone = "Asia/Seoul")
-    @Schema(description = "티켓팅 이벤트 종료 시간", example = "2025-07-25T12:00:00")
+    @Schema(description = "티켓팅 이벤트 종료 시간", example = "2025-12-25T12:00:00")
     private LocalDateTime eventEndTime;
 
     @NotNull(message = "티켓팅 상품 수령 시작 시간은 필수입니다")
     @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd'T'HH:mm:ss", timezone = "Asia/Seoul")
-    @Schema(description = "티켓팅 상품 수령 시작 시간", example = "2025-07-02T16:00")
+    @Schema(description = "티켓팅 상품 수령 시작 시간", example = "2025-12-25T16:00:00")
     private LocalDateTime eventReceivedStartTime;
 
     @NotNull(message = "티켓팅 상품 수령 종료 시간은 필수입니다")
     @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd'T'HH:mm:ss", timezone = "Asia/Seoul")
-    @Schema(description = "티켓팅 상품 수령 종료 시간", example = "2025-07-02T16:00")
+    @Schema(description = "티켓팅 상품 수령 종료 시간", example = "2025-12-25T17:00:00")
     private LocalDateTime eventReceivedEndTime;
 
     @Pattern(regexp = "\\d{2,3}-\\d{3,4}-\\d{4}", message = "올바른 전화번호 형식이 아닙니다")
diff --git a/src/main/java/inu/codin/codinticketingapi/domain/admin/service/EventAdminService.java b/src/main/java/inu/codin/codinticketingapi/domain/admin/service/EventAdminService.java
@@ -110,6 +110,10 @@ public EventResponse updateEvent(Long eventId, EventUpdateRequest request, Multi
     @Transactional
     public void deleteEvent(Long eventId) {
         Event event = findEventById(eventId);
+
+        String currentUserId = findAdminUser();
+        validationEvent(event, currentUserId);
+
         event.delete();
         eventStatusScheduler.scheduleAllDelete(event);
         redisEventService.deleteTickets(eventId);
@@ -149,6 +153,11 @@ public EventParticipationProfilePageResponse getParticipationList(Long eventId,
 
     @Transactional
     public boolean changeReceiveStatus(Long eventId, String userId, MultipartFile image) {
+        // 권한 검증
+        Event event = findEventById(eventId);
+        String currentUserId = findAdminUser();
+        validationEvent(event, currentUserId);
+
         Participation findParticipation = getParticipationByEventIdAndUserId(eventId, userId);
         String imageURL = imageService.handleImageUpload(image);
 
@@ -167,6 +176,11 @@ public EventStockResponse getStock(Long eventId) {
 
     @Transactional
     public void cancelTicket(Long eventId, String userId) {
+        // 권한 검증
+        Event event = findEventById(eventId);
+        String currentUserId = findAdminUser();
+        validationEvent(event, currentUserId);
+
         ticketingService.cancelParticipation(eventId, userId);
     }
 
@@ -214,7 +228,12 @@ private String findAdminUser() {
     }
 
     private void validationEvent(Event event, String userId) {
-        if (!event.getUserId().equals(userId) && !SecurityUtil.hasRole("ADMIN")) {
+        boolean isAdmin = SecurityUtil.hasRole("ADMIN");
+        boolean isManager = SecurityUtil.hasRole("MANAGER");
+        boolean isOwner = event.getUserId().equals(userId);
+
+        // 관리자이거나 매니저이면서 이벤트 생성자일 경우에만 수정 가능
+        if (!(isAdmin || (isManager && isOwner))) {
             throw new TicketingException(TicketingErrorCode.UNAUTHORIZED_EVENT_UPDATE);
         }
 
