백엔드프론트엔드

Caffeine API 캐싱 + DB 인덱스 V10 + 약관 재동의 + a11y 폴리쉬 — POP-SPOT v2.19 · v2.20 (+v2.20.1/2)

김동현
··4분 읽기

v2.19 성능·컴플라이언스 — Caffeine API 캐싱으로 상위 팝업 조회 p95 230ms→63ms, V10 마이그레이션 복합 인덱스, 약관 재동의 모달, OAuth state 강화. v2.20 UI 토큰·signup honeypot·a11y. v2.20.1/2 핫픽스 포함.

운영 안정을 높이는 한 달 속의 세 번째 배치. v2.18·v2.18.1 이 눈에 보이는 UX 였다면 v2.19·v2.20 은 성능·일관성·법적 의무·접근성 조정.

이 글에서 다루는 것

  • Caffeine 과 Spring @Cacheable 을 엮어 API 계층 캐싱
  • DB 인덱스 V10 — 자주 쓰는 쿼리의 복합 인덱스
  • 약관 재동의 모달 — PIPA 변경 시 기존 회원 동의 필요
  • OAuth state 강화 — CSRF 방어
  • v2.20 — UI 토큰, signup honeypot, a11y aria-label
  • v2.20.1/2 — v2.19 CacheConfig 좀비 누락, Spotless 재포맷

    • 모르는 단어 한 줄로

    용어한 줄 설명
    Caffeine자바용 로컬 메모리 캐시 라이브러리. Spring @Cacheable 과 조합하면 메서드 결과 자동 캐싱
    p95수행 시간의 95번째 백분위
    복합 인덱스여러 컬럼을 묶은 DB 인덱스. WHERE 에 여러 조건 있을 때 이득
    honeypot사람 눈에 안 보이는 필드. 봇이 자동 입력하면 차단
    a11yaccessibility. 스크린 리더·키보드 사용자를 고려한 접근성

    v2.19 — 성능·컴플라이언스

    Caffeine API 캐싱

    java
    // v2.19 — CacheConfig.java (신규). Caffeine 메모리 캠시 제조
@Configuration
@EnableCaching
public class CacheConfig {
  @Bean
  public CacheManager cacheManager() {
    CaffeineCacheManager manager = new CaffeineCacheManager(
        "topPopups", "popupDetail", "mapMarkers"
    );
    manager.setCaffeine(Caffeine.newBuilder()
        .maximumSize(1_000)
        .expireAfterWrite(Duration.ofMinutes(5))
        .recordStats()
    );
    return manager;
  }
}

    해석 — 한 줄씩

  • @EnableCaching — 이 어노테이션 없으면 @Cacheable 무시. v2.20.1 핫픽스의 원인
  • CaffeineCacheManager("topPopups", ...) — 캐시 이름 미리 등록. @Cacheable("topPopups") 다음에 쓴다
  • maximumSize(1_000) — 1000 엔트리 넘으면 LRU 제거. OOM 방지
  • expireAfterWrite(5분) — 5 분 후 만료. 데이터 신선도와 일관성 트레이드오프
  • recordStats() — hit/miss 수집. 어드민 메트릭으로 노출

    • 파일: popspot-backend/src/main/java/com/popspot/service/PopupStoreService.java

    java
    // v2.19 / v2.20.1 — PopupStoreService.findTopByRegion()
@Cacheable(value = "topPopups", key = "#region + ':' + #limit")
public List<PopupStoreResponse> findTopByRegion(String region, int limit) {
  return repository.findVisibleTopByRegion(region, limit);
}

    해석

  • key = "#region + ':' + #limit" — SpEL 으로 파라미터 조합을 키로. 수동:20 과 강남:10 각각 별도 캐시
  • 메서드 시그니처 변경 없이 어노테이션 하나로 캐싱 도입

    • 결과: 상위 팝업 조회 p95 = 230ms → 63ms. 캬시 적중 시 1~2ms.

    DB 인덱스 V10

    파일: popspot-backend/src/main/resources/db/migration/V10__indexes.sql

    sql
    -- v2.19 — V10__indexes.sql
CREATE INDEX idx_popup_status_visible_end_date
  ON popup_store (status, visible, end_date)
  WHERE status IN ('ACTIVE','UPCOMING') AND visible = true;

CREATE INDEX idx_wishlist_user_popup
  ON wishlist (user_id, popup_id);

CREATE INDEX idx_notification_user_read
  ON notification (user_id, read_at);

    해석

  • idx_popup_status_visible_end_date — 부분 인덱스 (WHERE 절 포함). 조건에 맞는 row 만 인덱스해서 크기 절약 + 조회 빠름
  • (user_id, popup_id) 순서 — 위시리스트는 한 사용자의 팝업 목록 조회가 주라 user_id 먼저가 유리
  • (user_id, read_at) — 알림은 내 안 읽은 개수 쿼리가 트래픽 주력

    • 약관 재동의 시스템

    파일: popspot-backend/src/main/java/com/popspot/entity/User.java

    java
    // v2.19 — User 엔티티에 동의 버전 추적 컬럼 추가
@Column
private String agreedTermsVersion;
@Column
private String agreedPrivacyVersion;

    파일: popspot-frontend/src/lib/termsVersion.ts + popspot-frontend/src/app/page.tsx (모달 표시)

    typescript
    // v2.19 — 프론트의 현재 약관 버전 상수
const CURRENT_TERMS = '2026-05-25';
const CURRENT_PRIVACY = '2026-05-25';

const needsReconfirm =
  user.agreedTermsVersion !== CURRENT_TERMS ||
  user.agreedPrivacyVersion !== CURRENT_PRIVACY;

{needsReconfirm && <ModalBlock>약관이 변경되었음. 재동의 필요</ModalBlock>}

    해석

  • 약관 보관 장소는 정적 파일. 현재 버전을 소스코드 상수로 둔 다음 사용자 동의 버전과 비교
  • 맞지 않으면 ModalBlock 으로 강제 닫기 차단. 동의하기 전엔 아무 행동 불가

    • OAuth state 강화

    파일: popspot-backend/src/main/java/com/popspot/service/OAuthStateService.java

    java
    // v2.19 — OAuthStateService.issueState(). CSRF 방어·Redis 기반 1회용
public String issueState() {
  byte[] bytes = new byte[32];
  secureRandom.nextBytes(bytes);
  String state = Base64.getUrlEncoder().withoutPadding().encodeToString(bytes);

  redisTemplate.opsForValue().set(
      "oauth:state:" + state, "valid",
      Duration.ofMinutes(5)
  );
  return state;
}

public boolean consumeState(String state) {
  Boolean deleted = redisTemplate.delete("oauth:state:" + state);
  return Boolean.TRUE.equals(deleted);
}

    해석

  • secureRandom + 32 바이트 — 추측 불가능한 랜덤
  • Redis 에 5 분 TTL 보관 — 서버 재기동해도 분실 안 됨
  • consumeState — 1 회용. 다시 쓰면 false. 공격자가 state 가로채도 다시 쓸 수 없음

    • v2.20 — a11y 와 UI 폴리쉬

    honeypot

    파일: popspot-frontend/src/app/signup/page.tsx 안의 honeypot 입력란

    typescript
    {/* v2.20 — signup 폼 내 honeypot 필드. 봇 탐지용 */}
<input
  type="text"
  name="company"
  tabIndex={-1}
  autoComplete="off"
  style={{
    position: 'absolute',
    left: '-9999px',
    width: '1px',
    height: '1px',
    opacity: 0,
  }}
/>

    해석

  • position: absolute; left: -9999px — 시각적으로 화면 밖으로. 일반 사용자는 접근 불가
  • tabIndex={-1} — 탭 키보드로도 못 들어감
  • 봇은 보통 모든 input 을 채움 → company 에 값이 있으면 서버가 조용히 400 반환. 구분 메시지 안 되돌려주면 봇이 항변하기 어려움

    • v2.20.1 — CacheConfig 좀비 누락 핫픽스

    증상

    v2.19 배포 후 p95 개선 안 됨. 어드민 캬시 메트릭 보니 hit 가 0.

    원인

    PopupStoreService 에 @Cacheable 은 붙였는데 CacheConfig 의 빈이 등록되지 않아 Spring 이 명령을 조용히 무시. 메서드 시그니처가 v2.18 의 findVisibleTopByRegion 과 달라 교체 과정에서 @Cacheable 이 명시적 wiring 을 놓치몈.

    수정

    파일: popspot-backend/src/main/java/com/popspot/service/PopupStoreService.java

    java
    // v2.19 / v2.20.1 — PopupStoreService.findTopByRegion()
@Cacheable(value = "topPopups", key = "#region + ':' + #limit")
public List<PopupStoreResponse> findTopByRegion(String region, int limit) {
  return repository.findVisibleTopByRegion(region, limit);
}

    Spring AOP 가 제대로 잡고 재배포.

    v2.20.2 — Spotless JavaDoc reflow 5 번째 핫픽스

    v1.4 이후 주기적으로 터지는 일이다. 한국어 멀티라인 JavaDoc 이 google-java-format 재포맷에 잡음. 8 파일의 주석을 100 컬럼 이내로 콤팩트화.

    교훈 — 주석은 가능하면 한 줄로. 여러 줄 쓸 때도 각 줄이 쿠렌 이내로 잘리게 미리 끊어 두면 재포맷 충돌이 적다.

    관련 글

  • 이전 — v2.18, 출시 직후 UX 보강
  • 다음 — v2.20.3, SEO 봇 인덱싱 함정 + RSS 2.0
    • 공유
    이전 글SEO 봇 인덱싱 함정 해결 + RSS 2.0 + 키워드 5→31 개 — POP-SPOT v2.20.3다음 글출시 직후 UX 보강 — 공통 UI 컴포넌트 + 글로벌 검색 + 알림 센터 + 메이트 신고 자동 차단 — POP-SPOT v2.18 (+v2.18.1)

    관련 글

    인트로 페이지 제거 → 루트가 메인 직행 + AuthGuard 스피너 게이트 제거로 SEO 색인 해결 — POP-SPOT v2.23 (+v2.23.1/2)발견형 서비스인데 모든 방문자가 5 섭션 인트로→ENTER 거쳐야 메인 도달. 이탈을 키우는 구조라 제거. v2.23.1·2 은 SEO 색인 이시합 해결 — /popups/[slug] 이 크롤러를 /login 으로 튕긴게 수정하고, AuthGuard 의 스피너 게이트를 제거해 공개 페이지가 실제 HTML로 서버 렌더링 되도록.전면 보안 감사 + 수정 — IDOR 5 곳 · 저장형 XSS · 메모리/스토리지 누수 · 클린코드 점검 — POP-SPOT v2.22인증·인가·인젝션·암호화·프론트·컴플라이언스 6 영역 병렬 감사. C1 IDOR (Stamp/MyPage/Mate/ChatFile) + C2 저장형 XSS (카카오 로드뷰 오버레이) + H1 인증 없는 업로드 + H2/H3 무한 증가 인메모리 맵 + H4 SSE emitter 누수 + H5 토큰 노출. 동시에 운영 점검 4 건 (신고 어뻐징 · 크롤링 입력 정제 · 이메일 열거 · 백업 하드닝).Spotify OAuth + Web Playback SDK 통합 — 3-tier 재생 엔진 (Premium SDK / iTunes preview / YouTube) — POP-SPOT v2.21 S10~S18Spotify OAuth 백엔드(AES-256-GCM 토큰 암호화) + Web Playback SDK 프론트 통합 + iTunes preview 폴백 + YouTube 폴백의 3-tier 재생 엔진. Premium 은 320kbps 풀트랙, Free/미연결은 30~90초 preview, 외엔 YouTube 폴백. S17/S18 에서 운영 버그 네 건 추가 수정.

    댓글