[BE] [FIX] 출석 세션 오너 관련 수정

discipline24 · discipline24 · commit 576aee9c892f · 2026-03-18T13:47:04.000+09:00
diff --git a/backend/src/main/java/org/sejongisc/backend/attendance/controller/SessionUserController.java b/backend/src/main/java/org/sejongisc/backend/attendance/controller/SessionUserController.java
@@ -96,10 +96,12 @@ public ResponseEntity<SessionUserResponse> addUserToSession(
       ## 동작 설명
       - 세션에서 특정 사용자를 제거
       - 해당 사용자가 이 세션에서 가졌던 모든 출석 기록(`Attendance`)을 함께 삭제
+      - `OWNER`는 제거할 수 없습니다.
       
       ## 에러 코드
       - **`SESSION_NOT_FOUND`**: 해당 출석 세션이 존재하지 않습니다.
       - **`NOT_SESSION_OWNER`**: 세션 소유자 권한이 없습니다.
+      - **`CANNOT_MODIFY_OWNER`**: 세션 소유자는 제거할 수 없습니다.
       
       """)
   @DeleteMapping("/{sessionId}/users/{userId}")
@@ -206,6 +208,7 @@ public ResponseEntity<Void> addAllUsers(
     
     ## 동작 설명
     - 특정 사용자의 역할을 `MANAGER`로 격상시킵니다.
+    - `OWNER`의 역할은 변경할 수 없습니다.
     """)
   @PostMapping("/{sessionId}/admins/{userId}")
   public ResponseEntity<Void> addAdminToSession(
@@ -230,7 +233,7 @@ public ResponseEntity<Void> addAdminToSession(
     
     ## 동작 설명
     - 특정 사용자의 역할을 `PARTICIPANT`로 강등시킵니다.
-    - `OWNER`는 강등될 수 없습니다.
+    - `OWNER`의 역할은 변경할 수 없습니다.
     """)
   @DeleteMapping("/{sessionId}/admins/{userId}")
   public ResponseEntity<Void> removeAdminFromSession(
diff --git a/backend/src/main/java/org/sejongisc/backend/attendance/service/SessionUserService.java b/backend/src/main/java/org/sejongisc/backend/attendance/service/SessionUserService.java
@@ -106,6 +106,9 @@ public void removeUserFromSession(UUID sessionId, UUID targetUserId, UUID actorU
     attendanceSessionRepository.findById(sessionId)
         .orElseThrow(() -> new CustomException(ErrorCode.SESSION_NOT_FOUND));
 
+    SessionUser targetSessionUser = getSessionUser(sessionId, targetUserId);
+    ensureTargetIsNotOwner(targetSessionUser);
+
     // SessionUser 삭제
     sessionUserRepository.deleteByAttendanceSession_AttendanceSessionIdAndUser_UserId(sessionId, targetUserId);
 
@@ -205,23 +208,28 @@ private void createAbsentForPastRounds(UUID sessionId, User user) {
   @Transactional
   public void addAdmin(UUID sessionId, UUID targetUserId, UUID actorUserId) {
     authorizationService.ensureOwner(sessionId, actorUserId);
-    SessionUser su = sessionUserRepository
-        .findByAttendanceSession_AttendanceSessionIdAndUser_UserId(sessionId, targetUserId)
-        .orElseThrow(() -> new CustomException(ErrorCode.TARGET_NOT_SESSION_MEMBER));
+    SessionUser su = getSessionUser(sessionId, targetUserId);
+    ensureTargetIsNotOwner(su);
     su.changeRole(SessionRole.MANAGER);
   }
 
   @Transactional
   public void removeAdmin(UUID sessionId, UUID targetUserId, UUID actorUserId) {
     authorizationService.ensureOwner(sessionId, actorUserId);
-    SessionUser su = sessionUserRepository
+    SessionUser su = getSessionUser(sessionId, targetUserId);
+    ensureTargetIsNotOwner(su);
+    su.changeRole(SessionRole.PARTICIPANT);
+  }
+
+  private SessionUser getSessionUser(UUID sessionId, UUID targetUserId) {
+    return sessionUserRepository
         .findByAttendanceSession_AttendanceSessionIdAndUser_UserId(sessionId, targetUserId)
         .orElseThrow(() -> new CustomException(ErrorCode.TARGET_NOT_SESSION_MEMBER));
+  }
 
-    // OWNER를 강제로 내릴지 여부는 정책
-    if (su.getSessionRole() == SessionRole.OWNER) {
-      throw new CustomException(ErrorCode.CANNOT_DEMOTE_OWNER);
+  private void ensureTargetIsNotOwner(SessionUser sessionUser) {
+    if (sessionUser.getSessionRole() == SessionRole.OWNER) {
+      throw new CustomException(ErrorCode.CANNOT_MODIFY_OWNER);
     }
-    su.changeRole(SessionRole.PARTICIPANT);
   }
 }
diff --git a/backend/src/main/java/org/sejongisc/backend/common/exception/ErrorCode.java b/backend/src/main/java/org/sejongisc/backend/common/exception/ErrorCode.java
@@ -182,7 +182,7 @@ public enum ErrorCode {
 
   TARGET_NOT_SESSION_MEMBER(HttpStatus.BAD_REQUEST, "대상 사용자가 출석 세션의 멤버가 아닙니다."),
 
-  CANNOT_DEMOTE_OWNER(HttpStatus.BAD_REQUEST, "출석 세션 소유자는 강등할 수 없습니다."),
+  CANNOT_MODIFY_OWNER(HttpStatus.BAD_REQUEST, "출석 세션 소유자는 변경하거나 제거할 수 없습니다."),
 
   UNAUTHENTICATED(HttpStatus.UNAUTHORIZED, "인증되지 않은 사용자입니다."),
 
@@ -197,4 +197,4 @@ public enum ErrorCode {
     this.status = status;
     this.message = message;
   }
-}
+}
