1. 유저 - 로그인

• 비밀번호 형식을 조금 더 구체적으로 하면 좋을 것 같다. (특수문자 포함 등)

• 정책이 바뀔 경우 사용자에게 안내하는 방법을 사용한다.

  • 사용자가 정책을 따르도록 요구하거나 강제한다.
  • 안 따르면 로그인 할 때마다 정책 안내를 보여줄 수 있다.

• password는 길이만 validation만 했는데, 숫자나 문자 들어가는게 요즘 추세인데 그런것들을 하면 좀 더 좋았을 것같다.

  • 기존 유저들을 password를 안내해서 비밀번호 변경을 강제할 수 있을 것같다

• login 할 때, Authorization Header 넣고도 로그인이 되는 상황이 되는데, 어떤 상황이 더 좋은 정책인지 고려해봐라.

  • access-token을 다시 줄 수도 있겠지만, 이미 로그인 되었다고 보여줄 수도 있을 것같다.

• 유효한 access token 입니다. 는 왜?

  • 토큰을 탈취해서 악용한다면 ?
  • 마르코는 액세스토큰이 만료되었다면 로그아웃 된 상태가 아닐까 생각한다.
  • 자동로그인 만들 때는 어떻게 할 것인가?
  • 로그아웃이 없다. 로그아웃 상태를 고민해봐야한다.
  • 액세스 토큰도 저장이 필요하다.
  • 그래서 redis 필요하다.

2. 지출 & 수입

• 수입 조회 도중 400으로 상태코드를 내려보냈는데 리소스가 존재하지 않을때 404가 더 맞는 것같다
• 다른 유저의 유저카테고리의 아이디로 할 때 권한이 없다라는 메시지가 맞는지
• 수입 등록 시 초(시간)을 넘겨주지 않는 이유?
  • 일반적으로 초까지는 저장하니까 질문해봤음
  • 프론트엔드 설득이 힘들어서 타협해 분까지만 저장하기로 함

날짜 형식이 잘못 되었을 때 터지는 exception이 많다

• bind exception, time format excpetion 등 구체적인 예외 말고 통합적으로 예외를 던지고 싶다.
• 저거를 위해서 excpetion handler를 따로 둬야 할까?
• 슬랙 개인 질문으로