도메인 서비스를 활용한 패스워드 암호화 개선

문제

• 패스워드 변경을 서비스 레이어에서 처리할 경우, 서비스 레이어를 우회하여 객체를 직접 생성하는 실수가 발생하면 도메인 내부에 검증된 값이 존재함을 보장할 수 없습니다.
  특히, 패스워드 암호화와 같은 규칙은 실수로 인해 치명적인 결과를 초래할 수 있으므로, 이러한 실수가 발생할 가능성 자체를 없애고 싶었습니다.

@Service
@Transactional
@RequiredArgsConstructor
public class MemberService {

    private final MemberRepository memberRepository;
    private final CustomPasswordEncoder passwordEncoder;

    public void save(final MemberSaveRequest request) {
    	final String encodePassword = passwordEncoder.encode(request.password());
        final Password password = new Password(encodePassword);
        memberRepository.save(new Member(request.username(), password));
    }
    
    ...
}

변경 사항

패스워드 암호화 로직을 도메인 서비스로 이동하고, 암호화가 필요한 로직에서는 validator를 주입받아 실행하는 방식으로 변경하였습니다.
이 방식을 사용할 경우, 객체를 생성 및 변경할 때 도메인 내부에서 암호화를 진행하므로 도메인 내부 값이 항상 검증된 값임을 보장할 수 있습니다.
또한, 도메인만 봐도 해당 도메인이 가지고 있는 규칙을 한눈에 파악할 수 있습니다.

 

@Service
@Transactional
@RequiredArgsConstructor
public class MemberService {

    private final MemberRepository memberRepository;
    private final CustomPasswordEncoder customPasswordEncoder;

    public void save(final MemberSaveRequest request) {
        final Password password = new Password(encodePassword, customPasswordEncoder);
        memberRepository.save(new Member(request.username(), password));
    }
    
    ...
}

---

@Getter
@Embeddable
@NoArgsConstructor(access = AccessLevel.PROTECTED)
public class Password {
    private String password;

    public Password(final String password, final CustomPasswordEncoder customPasswordEncoder) {
        this.password = passwordEncoder.encode(password);
    }
    
    ...
 }

 

참고

https://github.com/woowacourse/service-apply/blob/d2efbd7767a6678ef1f6027e4dc6d80cb8c2239e/src/main/kotlin/apply/domain/applicationform/DuplicateApplicationValidator.kt

https://github.com/woowacourse/service-apply/pull/259#discussion_r681716771