[backend] 認可ロジックの強化(所有権チェックなど) #9
Description
背景
DocumentServiceDynamo.isDocumentOwner() の呼び出しや認可チェックが一部コメントアウトされている。
本番運用するにあたって、他ユーザーのドキュメントに更新/削除できないようにする厳密なロジックが必要。
やること
- DocumentController.updateDocument / deleteDocument の中で isDocumentOwner() を呼び出し、所有権がない場合は 403 エラーを返す
- フロントエンドでも「編集ボタン / 削除ボタン」が他ユーザーの文書では出ないように制御する(UX 向上)
- Jest テストを追加し、異なるユーザーID からのリクエストで 403 が返ることを確認
参考
backend/src/controllers/document.ts 内のコメントアウト箇所