docs: 민감 정보 하드코딩 제거 작업 기록

- 기존 JWT_SECRET_KEY 문서 확장 - 2025-12-06 민감 정보 기본값 전면 제거 작업 추가 - 원칙 문서 참조 명시 (311, AGENTS.md) - 다음 작업 시 원칙 준수 가이드 제공
2025-12-06 12:50:06 +09:00 · 2025-12-06 12:50:06 +09:00 · 4ca73f20e6
commit 4ca73f20e6
parent 144abe8575
1 changed files with 43 additions and 26 deletions
--- a/journey/troubleshooting/251117_jwt_secret_key_mismatch_fix.md
+++ b/journey/troubleshooting/251117_jwt_secret_key_mismatch_fix.md
@ -1,34 +1,51 @@
-# JWT Secret Key 불일치 문제 해결
+# 민감 정보 하드코딩 제거

-**날짜:** 2025-11-17
-**문제:** 프론트엔드 메시지 전송 401 에러, 관리자 페이지 API 401 에러
+**날짜:** 2025-11-17, 2025-12-06
+**작성자:** admin
+**관련 파일:** 아래 수정 파일 목록 참조

-## 원인
+---

-1. **robeing-gateway**: docker-compose.yml에 잘못된 JWT_SECRET_KEY 하드코딩
-2. **admin-dashboard-backend**: 코드에 JWT_SECRET_KEY 하드코딩
+## 문제 상황

-## 해결
+### 2025-11-17: JWT Secret Key 불일치
+- 프론트엔드 메시지 전송 401 에러, 관리자 페이지 API 401 에러
+- robeing-gateway: docker-compose.yml에 잘못된 JWT_SECRET_KEY 하드코딩
+- admin-dashboard-backend: 코드에 JWT_SECRET_KEY 하드코딩

-### robeing-gateway
-```yaml
-# docker-compose.yml - 하드코딩 제거
-environment:
-  - JWT_SECRET_KEY=admin_secret_key_robeing_2025  # 삭제
-```
+### 2025-12-06: 민감 정보 기본값 전면 제거
+- 코드와 docker-compose.yml에 API 키, 토큰, 비밀번호 기본값 하드코딩 다수 발견
+- 환경변수 미설정 시에도 기본값으로 동작하여 보안 리스크

-### admin-dashboard-backend
-```python
-# admin_routes.py
-SECRET_KEY = os.getenv("JWT_SECRET_KEY", "admin_secret_key_robeing_2025")
-```
+## 해결 방안

-### docker-compose.yml
-```yaml
-environment:
-  - JWT_SECRET_KEY=9cc562b6296b87b02dd89045a2e7e11c249713a59a5ac0160d852121f1289664
-```
+### 2025-11-17 수정
+- robeing-gateway/docker-compose.yml: JWT_SECRET_KEY 하드코딩 제거
+- admin-dashboard-backend: JWT_SECRET_KEY 기본값 제거

-## 결과
- 프론트엔드 메시지 전송 정상화
- 관리자 페이지 API 정상 작동
+### 2025-12-06 수정
+- `rb8001/app/auth.py:10`: JWT_SECRET_KEY 기본값 제거, 환경변수 필수 검증 추가
+- `skill-slack/app/core/config.py:27-28`: SERVICE_API_KEY, JWT_SECRET_KEY를 Optional로 변경
+- `rb8001/app/commands/skill_commands.py:23`: SERVICE_API_KEY 기본값 제거
+- `rb8001/docker-compose.yml:33,62`: NEO4J_PASSWORD, TAVILY_API_KEY 하드코딩 제거, 환경변수 참조로 변경
+- `rb8001/tests/e2e_intent_improvement_experiment.py:59`: JWT_SECRET_KEY 기본값 제거
+- `skill-rag-file/app/core/config.py:16`: DATABASE_URL 기본값 제거
+- `skill-slack/docker-compose.yml:20-21`: SERVICE_API_KEY, JWT_SECRET_KEY 기본값 제거
+
+## 원칙 문서 반영
+
+- `DOCS/book/300_architecture/311_FastAPI_구조_원칙.md:207`: "코드에 API 키, 토큰, 비밀번호 등 민감 정보를 기본값/백업 값으로 직접 하드코딩" 금지 규칙 추가
+- `AGENTS.md:135`: "민감 정보 하드코딩 금지" 규칙 추가
+
+## 교훈
+
+### 민감 정보는 환경변수 필수
+- 코드나 docker-compose.yml에 기본값으로 하드코딩하면 Git에 노출될 수 있음
+- 환경변수 미설정 시 명확한 에러 메시지로 조기 발견 가능
+- 원칙: `311_FastAPI_구조_원칙.md` 섹션 12, `AGENTS.md` 설정 관리 섹션 참고
+
+### 체크리스트
+- [ ] 코드에서 `os.getenv("KEY", "default-secret")` 패턴 확인
+- [ ] docker-compose.yml에서 `${KEY:-default-value}` 패턴 확인
+- [ ] config.py에서 민감 정보 기본값 확인
+- [ ] 환경변수 필수 검증 로직 추가