이 강의에서는 보안 관련 변경 사항을 테스트합니다. 이미 모든 애플리케이션을 실행한 상태에서, 우리가 설정한 보안 구성이 제대로 작동하는지 확인합니다.
단계별 테스트 과정
-
모든 애플리케이션 시작:
- Config 서버, Eureka 서버, Accounts, Loans, Cards 애플리케이션, 그리고 마지막으로 Gateway 서버를 시작합니다.
-
Postman에서 GET API 테스트:
- Postman을 열고
Microservices컬렉션에서Gateway Server폴더를 선택합니다. - GET API 호출:
- 각 마이크로서비스의 GET API에 대해 보안 없이 호출합니다.
- 예를 들어,
accounts/contact-info,cards/java-version,loans/build-info경로를 호출하여 성공적인 응답을 받습니다. - 이로써 GET API는 보안 없이 호출할 수 있다는 것을 확인할 수 있습니다.
- Postman을 열고
-
POST API 호출 시 보안 확인:
accounts/create와 같은 POST API를 호출하면서 인증 정보 없이 호출해봅니다.- 예상대로
401 Unauthorized오류가 발생합니다. - 이는 게이트웨이 서버가 올바르게 보호되고 있음을 의미합니다.
-
액세스 토큰을 사용한 POST API 테스트:
- Postman의
Authorization탭에서OAuth 2.0유형을 선택합니다. - 클라이언트 자격 증명(client credentials) 설정:
- 클라이언트 ID, 클라이언트 시크릿, 액세스 토큰 URL 등을 입력합니다.
Get New Access Token버튼을 클릭하여 새로운 액세스 토큰을 가져옵니다.- 토큰을 가져온 후,
Use Token버튼을 클릭하여 해당 토큰을 사용하도록 설정합니다.
- POST API 호출:
accounts/createAPI를 다시 호출하면 성공적인 응답을 받습니다.- 액세스 토큰이 유효하지 않은 경우,
401 Unauthorized오류가 발생합니다.
- 동일한 절차로
cards와loans에 대한 POST API도 테스트합니다.
- Postman의
-
GET API를 사용한 전체 데이터 조회:
fetchCustomerDetails()API를 호출하여 모든 계좌, 대출, 카드 정보를 조회합니다.- 이 GET API는 인증 없이도 성공적인 응답을 제공합니다.
요약
이제 Gateway 서버가 성공적으로 보호되고 있으며, 적절한 액세스 토큰이 있을 때만 POST API가 호출될 수 있음을 확인했습니다. 보안 구성이 제대로 작동하는지에 대한 전체적인 이해를 바탕으로, 실무에서의 적용을 더욱 쉽게 할 수 있을 것입니다.
감사합니다, 다음 강의에서 뵙겠습니다. 안녕히 계세요!
무슨 생각하며 사니