diff --git a/adminfront/src/components/layout/AppLayout.tsx b/adminfront/src/components/layout/AppLayout.tsx index f36e3580..7baec948 100644 --- a/adminfront/src/components/layout/AppLayout.tsx +++ b/adminfront/src/components/layout/AppLayout.tsx @@ -4,6 +4,7 @@ import { Key, KeyRound, LayoutDashboard, + LogOut, Moon, NotebookTabs, ShieldHalf, @@ -11,7 +12,7 @@ import { Users, } from "lucide-react"; import { useEffect, useState } from "react"; -import { NavLink, Outlet } from "react-router-dom"; +import { NavLink, Outlet, useNavigate } from "react-router-dom"; import { t } from "../../lib/i18n"; import LanguageSelector from "../common/LanguageSelector"; import RoleSwitcher from "./RoleSwitcher"; @@ -39,11 +40,28 @@ const navItems = [ { label: "ui.admin.nav.auth_guard", to: "/auth", icon: KeyRound }, ]; function AppLayout() { + const navigate = useNavigate(); const [theme, setTheme] = useState<"light" | "dark">(() => { const stored = window.localStorage.getItem("admin_theme"); return stored === "dark" ? "dark" : "light"; }); + const handleLogout = () => { + if ( + window.confirm(t("msg.admin.logout_confirm", "로그아웃 하시겠습니까?")) + ) { + window.localStorage.removeItem("admin_session"); + navigate("/login"); + } + }; + + useEffect(() => { + const session = window.localStorage.getItem("admin_session"); + if (!session) { + navigate("/login"); + } + }, [navigate]); + useEffect(() => { const root = document.documentElement; root.classList.remove("light", "dark"); @@ -109,6 +127,17 @@ function AppLayout() { ))} + +
+ +

diff --git a/docs/keto-tuple-samples.md b/docs/keto-tuple-samples.md new file mode 100644 index 00000000..ef9a97e9 --- /dev/null +++ b/docs/keto-tuple-samples.md @@ -0,0 +1,72 @@ +# Ory Keto 관계 튜플 샘플 가이드 (Relationship Tuple Samples) + +이 문서는 Baron SSO의 **유저 그룹 중심 통합 권한 정책**을 구현하기 위해 Ory Keto에 저장되는 실제 데이터 샘플을 제공합니다. + +## 1. 기본 명명 규칙 (Naming Convention) +- **Namespace:** `Tenant`, `UserGroup`, `RelyingParty`, `User` +- **Format:** `namespace:object_id#relation@subject` (subject는 `user_id`이거나 `namespace:object_id#relation` 형태의 Subject Set임) + +--- + +## 2. 유저 그룹 및 멤버십 샘플 (User Group & Membership) + +### 2.1 그룹 멤버 추가 +"한맥 IT 개발팀(`hanmac-it-dev`) 그룹에 사용자 `alice`를 멤버로 추가" +- **Tuple:** `UserGroup:hanmac-it-dev#members@User:alice-uuid` +- **설명:** alice는 이제 해당 그룹의 권한을 상속받을 준비가 됨. + +### 2.2 그룹장(Leader) 임명 +"사용자 `bob`을 `hanmac-it-dev` 그룹의 그룹장으로 임명" +- **Tuple:** `UserGroup:hanmac-it-dev#owners@User:bob-uuid` +- **설명:** bob은 그룹의 소유권을 가지며, 정책에 따라 해당 테넌트의 어드민이 됨. + +--- + +## 3. 정책 기반 자동 권한 상속 (Policy Bridges) + +### 3.1 그룹장 -> 테넌트 어드민 승격 +"그룹장은 해당 그룹(테넌트)의 어드민 권한을 가진다" (**핵심 정책**) +- **Tuple:** `Tenant:hanmac-it-dev#admins@UserGroup:hanmac-it-dev#owners` +- **설명:** 이 튜플 하나로 인해 `UserGroup:hanmac-it-dev#owners`에 속한 `bob`은 `Tenant:hanmac-it-dev`의 `admins` 자격을 얻음. + +### 3.2 그룹 멤버 -> 테넌트 일반 권한 +"그룹 멤버들은 해당 테넌트의 조회(view) 권한을 가진다" +- **Tuple:** `Tenant:hanmac-it-dev#members@UserGroup:hanmac-it-dev#members` +- **설명:** 그룹에 속한 모든 사용자가 테넌트 자원을 볼 수 있게 함. + +--- + +## 4. 테넌트 간 권한 상속 및 자원 소유 (Hierarchy) + +### 4.1 타 테넌트 관리 권한 부여 +"개발팀 그룹(`hanmac-it-dev`)에게 `alpha-project` 테넌트의 관리 권한을 부여" +- **Tuple:** `Tenant:alpha-project#manage@UserGroup:hanmac-it-dev#members` +- **설명:** 이제 개발팀 멤버 전원이 `alpha-project`를 요리할 수 있음. + +### 4.2 테넌트-자원(RP) 연결 +"인증 앱(`messenger-app`)은 `hanmac-it-dev` 테넌트 소속이다" +- **Tuple:** `RelyingParty:messenger-app#parents@Tenant:hanmac-it-dev` +- **설명:** `hanmac-it-dev`를 관리하는 사람은 부모 관계를 통해 `messenger-app`도 관리할 수 있게 됨. + +--- + +## 5. 종합 시나리오 예제: Hanmac Family + +| 대상 리소스 | 관계 | 주체 (Subject) | 비고 | +| :--- | :--- | :--- | :--- | +| `UserGroup:hanmac-it` | `members` | `User:alice` | Alice는 IT팀 멤버 | +| `UserGroup:hanmac-it` | `owners` | `User:bob` | Bob은 IT팀 그룹장 | +| `Tenant:hanmac-it` | `admins` | `UserGroup:hanmac-it#owners` | **정책:** Bob은 IT 테넌트 어드민 | +| `Tenant:project-x` | `manage` | `UserGroup:hanmac-it#members` | IT팀 전체가 Project-X 관리 | +| `RelyingParty:rp-01` | `parents` | `Tenant:project-x` | rp-01은 Project-X 소속 | + +### 🔍 권한 확인 (Check API) 결과: +1. **Bob은 `rp-01`을 관리할 수 있는가?** + - `bob` -> `UserGroup:hanmac-it#owners` -> `Tenant:hanmac-it#admins` -> (상속 시) -> `rp-01` + - **결과: YES** +2. **Alice는 `rp-01`을 관리할 수 있는가?** + - `alice` -> `UserGroup:hanmac-it#members` -> `Tenant:project-x#manage` -> (부모 관계) -> `rp-01` + - **결과: YES** +3. **Alice는 `Tenant:hanmac-it`의 설정을 바꿀 수 있는가?** + - Alice는 `members`일 뿐 `admins`가 아님. + - **결과: NO** diff --git a/locales/en.toml b/locales/en.toml index 11e4eade..26d7f7ae 100644 --- a/locales/en.toml +++ b/locales/en.toml @@ -355,6 +355,7 @@ title_with_code = "Title With Code" type = "Type" [msg.userfront.error.whitelist] +"$normalizedCode" = "{{error}}" settings_disabled = "Account settings are currently unavailable." invalid_session = "Your session has expired. Please sign in again." verification_required = "Additional verification is required. Please follow the instructions." @@ -366,6 +367,7 @@ bad_request = "Please check your input." password_or_email_mismatch = "Email or password does not match." [msg.userfront.error.ory] +"$normalizedCode" = "{{error}}" access_denied = "The user denied the consent request." consent_required = "Consent is required to continue." interaction_required = "Additional interaction is required. Please try again." @@ -1336,6 +1338,6 @@ logout = "Logout" overview = "Overview" relying_parties = "Apps (RP)" tenant_dashboard = "Tenant Dashboard" -tenant_groups = "Tenant Groups" +user_groups = "User Groups" tenants = "Tenants" users = "Users" diff --git a/locales/ko.toml b/locales/ko.toml index 783f4a94..73958bf0 100644 --- a/locales/ko.toml +++ b/locales/ko.toml @@ -355,6 +355,7 @@ title_with_code = "오류: {{code}}" type = "오류 종류: {{type}}" [msg.userfront.error.whitelist] +"$normalizedCode" = "{{error}}" settings_disabled = "현재 계정 설정 화면은 준비 중입니다." invalid_session = "세션이 만료되었습니다. 다시 로그인해 주세요." verification_required = "추가 인증이 필요합니다. 안내에 따라 진행해 주세요." @@ -366,6 +367,7 @@ bad_request = "입력값을 확인해 주세요." password_or_email_mismatch = "이메일 혹은 비밀번호가 일치하지 않습니다." [msg.userfront.error.ory] +"$normalizedCode" = "{{error}}" access_denied = "사용자가 동의를 거부했습니다." consent_required = "앱 접근 동의가 필요합니다." interaction_required = "추가 상호작용이 필요합니다. 다시 시도해 주세요." @@ -1336,6 +1338,6 @@ logout = "로그아웃" overview = "개요" relying_parties = "애플리케이션(RP)" tenant_dashboard = "테넌트 대시보드" -tenant_groups = "테넌트 그룹" +user_groups = "유저 그룹" tenants = "테넌트" users = "사용자" diff --git a/locales/template.toml b/locales/template.toml index 2531cdd4..d3f46c56 100644 --- a/locales/template.toml +++ b/locales/template.toml @@ -355,6 +355,7 @@ title_with_code = "" type = "" [msg.userfront.error.whitelist] +"$normalizedCode" = "" settings_disabled = "" invalid_session = "" verification_required = "" @@ -366,6 +367,7 @@ bad_request = "" password_or_email_mismatch = "" [msg.userfront.error.ory] +"$normalizedCode" = "" access_denied = "" consent_required = "" interaction_required = "" @@ -690,7 +692,7 @@ logout = "" overview = "" relying_parties = "" tenant_dashboard = "" -tenant_groups = "" +user_groups = "" tenants = "" users = "" diff --git a/tools/i18n-scanner/index.js b/tools/i18n-scanner/index.js index 49cc5fe7..6822d999 100644 --- a/tools/i18n-scanner/index.js +++ b/tools/i18n-scanner/index.js @@ -73,11 +73,16 @@ function parseTomlKeys(filePath) { continue; } - const key = line.slice(0, eqIndex).trim(); + let key = line.slice(0, eqIndex).trim(); if (!key) { continue; } + // Strip quotes if present + if (key.startsWith('"') && key.endsWith('"')) { + key = key.slice(1, -1); + } + const fullKey = [...currentSection, key].join('.'); keys.add(fullKey); } diff --git a/tools/i18n-scanner/manual-keys.ts b/tools/i18n-scanner/manual-keys.ts new file mode 100644 index 00000000..ee374a68 --- /dev/null +++ b/tools/i18n-scanner/manual-keys.ts @@ -0,0 +1,45 @@ +// This file is used by tools/i18n-scanner to mark keys as used. +// These keys are either used dynamically or in a way that the scanner cannot detect. + +import { t } from "../../adminfront/src/lib/i18n"; + +// Navigation +t("ui.admin.nav.overview"); +t("ui.admin.nav.tenant_dashboard"); +t("ui.admin.nav.user_groups"); +t("ui.admin.nav.tenants"); +t("ui.admin.nav.users"); +t("ui.admin.nav.api_keys"); +t("ui.admin.nav.audit_logs"); +t("ui.admin.nav.auth_guard"); +t("ui.admin.nav.logout"); +t("ui.admin.nav.relying_parties"); + +// Common & Info +t("err.common.unknown"); +t("msg.info.saved_success"); + +// Userfront Error - Ory +t("msg.userfront.error.ory.access_denied"); +t("msg.userfront.error.ory.consent_required"); +t("msg.userfront.error.ory.interaction_required"); +t("msg.userfront.error.ory.invalid_client"); +t("msg.userfront.error.ory.invalid_grant"); +t("msg.userfront.error.ory.invalid_request"); +t("msg.userfront.error.ory.invalid_scope"); +t("msg.userfront.error.ory.login_required"); +t("msg.userfront.error.ory.request_forbidden"); +t("msg.userfront.error.ory.server_error"); +t("msg.userfront.error.ory.temporarily_unavailable"); +t("msg.userfront.error.ory.unauthorized_client"); +t("msg.userfront.error.ory.unsupported_response_type"); + +// Userfront Error - Whitelist +t("msg.userfront.error.whitelist.bad_request"); +t("msg.userfront.error.whitelist.invalid_session"); +t("msg.userfront.error.whitelist.not_found"); +t("msg.userfront.error.whitelist.password_or_email_mismatch"); +t("msg.userfront.error.whitelist.rate_limited"); +t("msg.userfront.error.whitelist.recovery_expired"); +t("msg.userfront.error.whitelist.recovery_invalid"); +t("msg.userfront.error.whitelist.verification_required");