Merge pull request #210 from SSASINSA/refactor/209_staff_code

refactor: 스태프 코드 재발급/조회 권한 변경 (#209)

Author: seungsang2000

README.md

@@ -188,7 +188,7 @@
 
 ## 관리자 행사 스태프 코드 API
 
-행사 담당 관리자(organizerAdmin)는 다음 API로 현장 스태프용 6자리 숫자 코드를 관리합니다. 코드는 DB `event.staff_code` 컬럼에 저장되며 만료 시간 없이 유지됩니다.
+행사 담당 관리자(organizerAdmin) 또는 ADMIN/SUPER_ADMIN 역할의 관리자는 다음 API로 현장 스태프용 6자리 숫자 코드를 관리합니다. 코드는 DB `event.staff_code` 컬럼에 저장되며 만료 시간 없이 유지됩니다.
 
 - **POST** `/api/v1/admin/events/{eventId}/staff-code`
   - 새 6자리 숫자 코드를 발급하고 기존 코드가 있다면 즉시 대체합니다.
@@ -200,9 +200,9 @@
       "issuedAt": "2025-02-01T10:15:20Z"
     }
     ```
-  - organizerAdmin이 아닌 사용자가 호출하면 `E1024`가 반환됩니다.
+  - MANAGER 역할 사용자는 organizerAdmin 본인일 때만 호출할 수 있으며, 그렇지 않거나 미인증인 경우 `E1024`가 반환됩니다. ADMIN/SUPER_ADMIN은 행사 담당자가 아니어도 호출할 수 있습니다.
 - **GET** `/api/v1/admin/events/{eventId}/staff-code`
-  - 이미 발급된 스태프 코드를 조회합니다.
+  - 이미 발급된 스태프 코드를 조회합니다. ADMIN/SUPER_ADMIN은 담당자가 아니어도 조회할 수 있으며, MANAGER는 organizerAdmin 본인일 때만 가능합니다.
   - 코드가 없다면 `E1025` 에러가 발생합니다.
 
 발급·조회는 모두 관리자 인증 토큰이 필요하며, 응답의 `issuedAt`은 UTC 기준입니다.

src/main/java/com/ssasinsa/wearagain/domain/event/controller/EventAdminController.java

@@ -142,7 +142,11 @@ public ResponseEntity<EventStaffCodeResponse> issueStaffCode(
             @PathVariable Long eventId,
             @AuthenticationPrincipal AdminAuthenticatedUser principal
     ) {
-        EventStaffCodeResponse response = eventAdminService.issueStaffCode(eventId, principal.adminId());
+        EventStaffCodeResponse response = eventAdminService.issueStaffCode(
+                eventId,
+                principal.adminId(),
+                principal.role()
+        );
         return ResponseEntity.ok(response);
     }
 
@@ -152,7 +156,11 @@ public ResponseEntity<EventStaffCodeResponse> getStaffCode(
             @PathVariable Long eventId,
             @AuthenticationPrincipal AdminAuthenticatedUser principal
     ) {
-        EventStaffCodeResponse response = eventAdminService.getStaffCode(eventId, principal.adminId());
+        EventStaffCodeResponse response = eventAdminService.getStaffCode(
+                eventId,
+                principal.adminId(),
+                principal.role()
+        );
         return ResponseEntity.ok(response);
     }
 

src/main/java/com/ssasinsa/wearagain/domain/event/docs/EventApiDocs.java

@@ -127,8 +127,9 @@ private EventApiDocs() {
     @ApiDoc(
             summary = "행사 스태프 코드 발급",
             description = """
-                    행사 담당 관리자(organizerAdmin)가 현장 스태프용 6자리 숫자 코드를 발급합니다.
-                    발급 시 기존 코드는 즉시 대체되며, 응답에는 새 코드와 발급 시각이 포함됩니다.
+                    행사 담당 관리자(organizerAdmin) 또는 ADMIN/SUPER_ADMIN 권한의 관리자가
+                    현장 스태프용 6자리 숫자 코드를 발급합니다. 발급 시 기존 코드는 즉시 대체되며,
+                    응답에는 새 코드와 발급 시각이 포함됩니다.
                     """,
             responseSchema = EventStaffCodeResponse.class,
             responseExample = EventExamples.ADMIN_EVENT_STAFF_CODE_RESPONSE
@@ -142,8 +143,9 @@ private EventApiDocs() {
     @ApiDoc(
             summary = "행사 스태프 코드 조회",
             description = """
-                    이미 발급된 스태프 코드를 조회합니다.
-                    organizerAdmin 본인만 접근할 수 있으며, 아직 코드가 없다면 404를 반환합니다.
+                    이미 발급된 스태프 코드를 조회합니다. ADMIN/SUPER_ADMIN 권한은 담당자가
+                    아니어도 접근할 수 있으며, MANAGER 권한은 organizerAdmin 본인일 때만 허용됩니다.
+                    아직 코드가 없다면 404를 반환합니다.
                     """,
             responseSchema = EventStaffCodeResponse.class,
             responseExample = EventExamples.ADMIN_EVENT_STAFF_CODE_RESPONSE

src/main/java/com/ssasinsa/wearagain/domain/event/service/EventAdminService.java

@@ -31,9 +31,9 @@ EventAdminListResponse getEvents(
 
     void archiveEvent(Long eventId);
 
-    EventStaffCodeResponse issueStaffCode(Long eventId, Long adminId);
+    EventStaffCodeResponse issueStaffCode(Long eventId, Long adminId, AdminRole role);
 
-    EventStaffCodeResponse getStaffCode(Long eventId, Long adminId);
+    EventStaffCodeResponse getStaffCode(Long eventId, Long adminId, AdminRole role);
 
     EventApprovalRequestPageResponse getPendingApprovalRequests(
             int page,

src/main/java/com/ssasinsa/wearagain/domain/event/service/EventAdminServiceImpl.java

@@ -400,10 +400,10 @@ public void archiveEvent(Long eventId) {
 
     @Override
     @Transactional
-    public EventStaffCodeResponse issueStaffCode(Long eventId, Long adminId) {
+    public EventStaffCodeResponse issueStaffCode(Long eventId, Long adminId, AdminRole role) {
         Event event = eventRepository.findById(eventId)
                 .orElseThrow(() -> new EventException(EventErrorCode.EVENT_NOT_FOUND));
-        enforceStaffCodePermission(event, adminId);
+        enforceStaffCodePermission(event, adminId, role);
 
         String staffCode = generateStaffCode();
         LocalDateTime issuedAt = LocalDateTime.now(ZoneOffset.UTC);
@@ -414,10 +414,10 @@ public EventStaffCodeResponse issueStaffCode(Long eventId, Long adminId) {
 
     @Override
     @Transactional(readOnly = true)
-    public EventStaffCodeResponse getStaffCode(Long eventId, Long adminId) {
+    public EventStaffCodeResponse getStaffCode(Long eventId, Long adminId, AdminRole role) {
         Event event = eventRepository.findById(eventId)
                 .orElseThrow(() -> new EventException(EventErrorCode.EVENT_NOT_FOUND));
-        enforceStaffCodePermission(event, adminId);
+        enforceStaffCodePermission(event, adminId, role);
 
         if (!StringUtils.hasText(event.getStaffCode())) {
             throw new EventException(EventErrorCode.EVENT_STAFF_CODE_NOT_ISSUED);
@@ -910,10 +910,13 @@ private void resetApprovalRequest(Event event) {
         approvalRequest.reopen(organizer);
     }
 
-    private void enforceStaffCodePermission(Event event, Long adminId) {
-        if (adminId == null) {
+    private void enforceStaffCodePermission(Event event, Long adminId, AdminRole role) {
+        if (adminId == null || role == null) {
             throw new EventException(EventErrorCode.EVENT_STAFF_CODE_FORBIDDEN);
         }
+        if (role == AdminRole.ADMIN || role == AdminRole.SUPER_ADMIN) {
+            return;
+        }
         AdminUser organizer = event.getOrganizerAdmin();
         if (organizer == null || organizer.getId() == null || !organizer.getId().equals(adminId)) {
             throw new EventException(EventErrorCode.EVENT_STAFF_CODE_FORBIDDEN);

src/test/java/com/ssasinsa/wearagain/domain/event/service/EventAdminServiceImplTest.java

@@ -260,7 +260,7 @@ void should_issue_staff_code_when_request_by_organizer() {
         when(eventRepository.findWithDetailsById(101L)).thenReturn(java.util.Optional.of(event));
         when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
 
-        EventStaffCodeResponse response = eventAdminService.issueStaffCode(101L, 11L);
+        EventStaffCodeResponse response = eventAdminService.issueStaffCode(101L, 11L, AdminRole.MANAGER);
 
         assertThat(response.eventId()).isEqualTo(101L);
         assertThat(response.staffCode()).matches("\\d{6}");
@@ -273,17 +273,26 @@ void should_issue_staff_code_when_request_by_organizer() {
     void should_fail_issue_staff_code_when_not_organizer() {
         when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
 
-        assertThatThrownBy(() -> eventAdminService.issueStaffCode(101L, 999L))
+        assertThatThrownBy(() -> eventAdminService.issueStaffCode(101L, 999L, AdminRole.MANAGER))
                 .isInstanceOf(EventException.class)
                 .hasFieldOrPropertyWithValue("errorCode", EventErrorCode.EVENT_STAFF_CODE_FORBIDDEN);
     }
 
+    @Test
+    void should_allow_admin_roles_to_issue_staff_code_even_when_not_organizer() {
+        when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
+
+        EventStaffCodeResponse response = eventAdminService.issueStaffCode(101L, 999L, AdminRole.ADMIN);
+
+        assertThat(response.staffCode()).matches("\\d{6}");
+    }
+
     @Test
     void should_get_staff_code_when_exists() {
         event.updateStaffCode("123456", LocalDateTime.now(ZoneOffset.UTC));
         when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
 
-        EventStaffCodeResponse response = eventAdminService.getStaffCode(101L, 11L);
+        EventStaffCodeResponse response = eventAdminService.getStaffCode(101L, 11L, AdminRole.MANAGER);
 
         assertThat(response.staffCode()).isEqualTo("123456");
         assertThat(response.issuedAt()).isNotNull();
@@ -293,11 +302,21 @@ void should_get_staff_code_when_exists() {
     void should_fail_get_staff_code_when_not_issued() {
         when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
 
-        assertThatThrownBy(() -> eventAdminService.getStaffCode(101L, 11L))
+        assertThatThrownBy(() -> eventAdminService.getStaffCode(101L, 11L, AdminRole.MANAGER))
                 .isInstanceOf(EventException.class)
                 .hasFieldOrPropertyWithValue("errorCode", EventErrorCode.EVENT_STAFF_CODE_NOT_ISSUED);
     }
 
+    @Test
+    void should_allow_admin_roles_to_get_staff_code_even_when_not_organizer() {
+        event.updateStaffCode("654321", LocalDateTime.now(ZoneOffset.UTC));
+        when(eventRepository.findById(101L)).thenReturn(java.util.Optional.of(event));
+
+        EventStaffCodeResponse response = eventAdminService.getStaffCode(101L, 999L, AdminRole.SUPER_ADMIN);
+
+        assertThat(response.staffCode()).isEqualTo("654321");
+    }
+
     @Test
     void should_list_events_with_statistics() {
         PageImpl<Event> pageResult = new PageImpl<>(List.of(event), PageRequest.of(0, 10), 20);