fix: GitHub app token permission 권한 오류 해결

[Hexeong]

관련 이슈

• resolves: fix: CD process에서 Github App에 대한 권한 명시 오류 수정 #564

작업 내용

• 문제가 되는 부분이 많네요;; 이쯤되니 해당 Github App 도입을 꼭 해야하나 생각까지 드네요 ㅎㅎ;
• 일단 pull 시점에서 docker login할때 자동으로 액세스토큰 전용으로 로그인 되는게 아니라고 해서 해당 내용 다시 수정해서 테스트해보려고 합니다.

특이 사항

리뷰 요구사항 (선택)

• 테스트를 위해 먼저 머지가 되어야 하는점 양해 바랍니다...

[coderabbitai]

Walkthrough

1. 개발 워크플로우 변경: build-gradle을 build-and-push로 이름 변경하고 outputs.image_tag를 추가했습니다.
2. 배포 흐름 분리: build-and-push에 의존하는 deploy 잡이 새로 생겼습니다.
3. GHCR 로그인 변경: 레지스트리 로그인 사용자를 ${{ github.repository_owner }}에서 ${{ github.actor }}로 바꿨습니다.
4. 토큰 흐름 단순화: GitHub App 설치 토큰을 제거하고 서버 및 이미지 풀에 GITHUB_TOKEN을 사용하도록 전환했습니다.
5. 원격 배포 업데이트: SSH 배포 명령이 needs.build-and-push.outputs.image_tag를 사용하도록 수정되고, sparse-checkout 및 배포 단계가 재구성되었습니다.

Estimated code review effort

🎯 3 (Moderate) | ⏱️ ~20 minutes

• 변경 범위는 워크플로우 파일 두 개에 걸쳐 있지만 패턴이 유사하여 이해는 비교적 직관적입니다.
• 새로 추가된 deploy 잡과 outputs.image_tag 연동 로직을 검증할 필요가 있습니다.
• GHCR 로그인 주체와 토큰 사용 방식 변경에 따른 권한·시크릿 영향 검토가 필요합니다.
• SSH/원격 명령과 sparse-checkout 로직의 정확성 및 시크릿 파일(예: deploy_key.pem) 취급을 확인하세요.

Suggested reviewers

• wibaek
• whqtker
• JAEHEE25
• lsy1307
• sukangpunch

Pre-merge checks and finishing touches

❌ Failed checks (1 warning, 2 inconclusive)

Check name	Status	Explanation	Resolution
Out of Scope Changes check	⚠️ Warning	워크플로우 구조 대대적 개편(build-and-push 작업 분리, deploy 작업 추가)은 권한 오류 해결을 넘어선 범위 확대로 보입니다.	권한 오류 해결에 필수적이지 않은 구조적 개편 사항을 설명하거나 별도 이슈로 분리하는 것을 권장합니다.
Description check	❓ Inconclusive	PR 설명은 템플릿 구조를 따르고 관련 이슈(#564)를 명시했으나, 구체적인 작업 내용과 변경사항이 불명확합니다.	워크플로우 변경의 구체적 목적, GitHub App 제거 사유, 그리고 GITHUB_TOKEN으로의 전환 이유를 명시하면 리뷰 이해도가 높아질 것입니다.
Linked Issues check	❓ Inconclusive	PR의 코드 변경(GitHub App 토큰 제거, GITHUB_TOKEN 사용)은 이슈 #564의 권한 오류 해결 목표와 부분적으로만 일치합니다.	이슈 #564의 구체적인 재현 방법과 권한 명시 오류 상세 내용이 누락되어 있어 완벽한 검증이 불가능합니다.

✅ Passed checks (2 passed)

Check name	Status	Explanation
Title check	✅ Passed	PR 제목은 GitHub App 토큰 권한 오류 해결이라는 주요 변경사항을 명확하게 요약하고 있습니다.
Docstring Coverage	✅ Passed	No functions found in the changed files to evaluate docstring coverage. Skipping docstring coverage check.

✨ Finishing touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Post copyable unit tests in a comment

---

📜 Recent review details

Configuration used: CodeRabbit UI

Review profile: CHILL

Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 8d2c07b and e0ae334.

📒 Files selected for processing (2)

• .github/workflows/dev-cd.yml (6 hunks)
• .github/workflows/prod-cd.yml (2 hunks)

🧰 Additional context used

🧠 Learnings (1)

📚 Learning: 2025-11-10T01:55:03.827Z

Learnt from: Hexeong
Repo: solid-connection/solid-connect-server PR: 552
File: .github/workflows/prod-cd.yml:40-45
Timestamp: 2025-11-10T01:55:03.827Z
Learning: GHCR (GitHub Container Registry)에서는 docker login 시 사용자명의 대소문자를 구분하지 않으며, 레지스트리 경로명은 항상 소문자로 정규화됩니다. 따라서 `github.repository_owner`를 그대로 사용해도 이미지 경로와의 대소문자 불일치 문제가 발생하지 않습니다.

Applied to files:

• .github/workflows/dev-cd.yml

⏰ Context from checks skipped due to timeout of 90000ms. You can increase the timeout in your CodeRabbit configuration to a maximum of 15 minutes (900000ms). (1)

• GitHub Check: build

🔇 Additional comments (5)

.github/workflows/prod-cd.yml (3)

51-56: GHCR 인증 방식이 올바르게 변경되었습니다.

다음 세 가지 개선사항이 정상 적용된 것을 확인했습니다:

1. 사용자명 변경: ${{ github.repository_owner }}에서 ${{ github.actor }}로 변경 ✓
2. 토큰 변경: GitHub App 토큰 제거, ${{ secrets.GITHUB_TOKEN }} 사용 ✓
3. 권한 분리: 이 build-and-push 잡에서 packages: write 권한 설정 ✓

이전 리뷰에서 지적된 GitHub App 토큰의 GHCR 미지원 문제가 완벽하게 해결되었습니다. lsy1307님의 권장사항을 정확히 따랐습니다.

---

100-107: 배포 잡의 권한 분리가 올바르게 설정되었습니다.

• 권한 명시: packages: read 설정으로 최소 권한 원칙 준수 ✓
• Job 의존성: needs: build-and-push로 순서 보장 ✓
• 코드 체크아웃: sparse-checkout으로 필요한 파일만 선택적 동기화 ✓

이 설정은 lsy1307님이 권장하신 "빌드는 write, 배포는 read" 패턴을 정확히 구현한 것입니다.

---

140-147: 원격 서버의 GHCR 로그인이 GITHUB_TOKEN으로 올바르게 구성되었습니다.

구체적으로 다음과 같이 동작합니다:

1. 토큰 전달: GitHub Actions 러너에서 ${{ secrets.GITHUB_TOKEN }}이 SSH 명령에 포함되어 원격 서버로 전달
2. 서버 인증: 원격 서버에서 docker login ghcr.io -u ${{ github.actor }}로 인증 수행
3. 이미지 pull: 인증 후 image_tag output을 사용하여 정확한 이미지 pull

이는 이전 리뷰에서 지적된 GitHub App 토큰 문제에 대한 권장 해결책을 정확히 구현한 것입니다.

.github/workflows/dev-cd.yml (2)

9-51: dev 워크플로우의 빌드 단계도 권장 패턴을 정확히 따릅니다.

다음 항목들이 모두 올바르게 구성되었습니다:

1. Job 이름: build-gradle → build-and-push로 변경 ✓
2. 권한 분리: packages: write로 설정 ✓
3. GHCR 인증: ${{ github.actor }}와 ${{ secrets.GITHUB_TOKEN }} 사용 ✓
4. Output 정의: image_tag output 추가 ✓
5. 이미지 태그: dev 환경에 맞는 타임스탬프 기반 ✓

prod-cd.yml과의 일관된 인증 방식이 유지되고 있습니다.

---

118-132: dev 배포 단계의 GHCR 인증도 일관되게 구성되었습니다.

• 권한: packages: read로 제한 (최소 권한 원칙) ✓
• 토큰 전달: SSH를 통해 GITHUB_TOKEN 전달 ✓
• Job 의존성: needs: build-and-push로 명확한 순서 보장 ✓
• 이미지 태그: needs.build-and-push.outputs.image_tag 참조 ✓

prod-cd.yml과 동일한 방식이 적용되어 일관성이 있습니다.

---

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[coderabbitai]

Actionable comments posted: 1

📜 Review details

Configuration used: CodeRabbit UI

Review profile: CHILL

Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 76b25da and 8d2c07b.

📒 Files selected for processing (2)

• .github/workflows/dev-cd.yml (1 hunks)
• .github/workflows/prod-cd.yml (1 hunks)

🧰 Additional context used

🧠 Learnings (2)

📓 Common learnings

Learnt from: Hexeong
Repo: solid-connection/solid-connect-server PR: 552
File: .github/workflows/prod-cd.yml:40-45
Timestamp: 2025-11-10T01:55:03.827Z
Learning: GHCR (GitHub Container Registry)에서는 docker login 시 사용자명의 대소문자를 구분하지 않으며, 레지스트리 경로명은 항상 소문자로 정규화됩니다. 따라서 `github.repository_owner`를 그대로 사용해도 이미지 경로와의 대소문자 불일치 문제가 발생하지 않습니다.

📚 Learning: 2025-11-10T01:55:03.827Z

Learnt from: Hexeong
Repo: solid-connection/solid-connect-server PR: 552
File: .github/workflows/prod-cd.yml:40-45
Timestamp: 2025-11-10T01:55:03.827Z
Learning: GHCR (GitHub Container Registry)에서는 docker login 시 사용자명의 대소문자를 구분하지 않으며, 레지스트리 경로명은 항상 소문자로 정규화됩니다. 따라서 `github.repository_owner`를 그대로 사용해도 이미지 경로와의 대소문자 불일치 문제가 발생하지 않습니다.

Applied to files:

• .github/workflows/dev-cd.yml
• .github/workflows/prod-cd.yml

🔇 Additional comments (3)

.github/workflows/prod-cd.yml (2)

109-109: Docker login 사용자명을 x-access-token으로 변경(prod 환경).

변경 사항:

1. dev-cd.yml과 동일한 패턴으로 x-access-token 사용자명 적용
2. 원격 서버에서의 image pull 시 GitHub App 토큰 기반 인증

환경 간 일관성: dev와 prod 환경 모두에 동일한 인증 메커니즘 적용되어 일관성이 있습니다. ✓

변경된 docker login 명령이 프로덕션 배포 파이프라인에서 실제로 정상 동작하는지 확인 및 테스트해주세요.

---

128-134: 프로덕션 배포 안정성 로직 확인.

Docker Compose 재시작 단계에서 graceful shutdown 패턴을 적용하고 있습니다:

1. docker compose stop - 컨테이너를 정상 종료
2. docker compose down --remove-orphans - 네트워크 제거 및 고아 컨테이너 정리
3. docker compose up -d - 새 컨테이너 시작

이는 dev 환경의 단순한 down → up 패턴(라인 125-126 dev-cd.yml)과 다릅니다. 프로덕션에서는 더 견고한 배포 로직이 적용되고 있어 좋습니다. ✓

.github/workflows/dev-cd.yml (1)

70-77: GitHub App 권한 설정이 GHCR 인증에 적절함을 확인했습니다.

웹 검색 결과에 따르면 다음과 같습니다.

1. 비공개 GHCR 이미지 인증 요구사항

   • GitHub App 설치 토큰에 permission-packages: "read" 권한이 포함되면 GHCR에서 비공개 이미지 pull에 필요한 최소 권한을 충족합니다.

2. 공개 vs 비공개 이미지의 권한 요구 차이

   • 공개 GHCR 이미지는 인증 없이 pull 가능합니다.
   • 비공개 이미지는 설치 토큰과 packages 권한(read 이상)을 필요로 합니다.

3. 현재 설정의 적절성

   • 라인 70-77의 permission-packages: "read" 설정은 라인 93-142에서 수행하는 이미지 pull 작업에 충분한 권한입니다.

따라서 GitHub App 토큰 생성 단계의 권한 설정은 올바르며, issue #564에서 의도한 권한 명시가 정확하게 반영되어 있습니다.