[Toy Project] Swagger 🐻Bearer Token🐻설정

프로젝트에서 API 요청에 대한 권한을 부여할 때, 유저마다 Bearer token을 부여하는 방식으로 인증을 진행하였다. (유저가 로그인에 성공하면 token을 부여하는 방식) 이를 Swagger에 적용시킨 과정을 기록하고자 한다

---

Bearer Token이란?

• Bearer = 소유자
• 토큰을 전송하는 방식 중에 하나
• HTTP 인증 프로토콜 중에 하나로 클라이언트가 서버의 자원에 접근하고자 할 때 헤더에 Bearer token을 포함하여 요청하여 인증을 받는다
• 일반적으로 OAuth나 JWT와 같은 프레임워크에서 사용된다

JWT란?

• 특정한 형식의 토큰을 정의하는 표준

• Json web token : Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Web Token

• Header, Payload, Signature의 3 부분으로 구성되며 각 부분은 Base64로 인코딩되어 표현된다 각 부분은 .을 구분자로 사용

  • Header : token type, Signature 해싱 알고리즘
  • Payload: 데이터
  • Signature: 토큰을 인코딩, 유효성 검증. 헤더와 페이로드를 해싱, 인코딩

사용 방법
인증 header에 Authorization: Bearer <token> 추가하여 요청

ex) Postman을 사용한 API 요청 시 추가된 header 에시

Swagger에서 Bearer Token 설정

코드

JwtUtil.java

• HTTP 요청에서 JWT 토큰을 추출

  public String resolveToken(HttpServletRequest request) {
    ContentCachingRequestWrapper wrappedRequest = new ContentCachingRequestWrapper(
      request
    );
    String token = wrappedRequest.getHeader("Authorization");
    if (token != null && token.startsWith("Bearer ")) {
      token = token.substring(7);
    }
    return token;
  }

JwtAuthenticationFilter.java

• 요청에서 추출한 토큰을 검증하고, 유효한 경우 사용자 인증을 수행

@Autowired
  private JwtUtil jwtUtil;

  @Override
  public void doFilter(
    ServletRequest servletRequest,
    ServletResponse servletResponse,
    FilterChain filterChain
  ) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) servletRequest;

    String token = jwtUtil.resolveToken(request);
    request.setAttribute("token", token);

    if (token != null && jwtUtil.validateToken(token)) {
      Authentication auth = jwtUtil.getAuthentication(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }

    filterChain.doFilter(request, servletResponse);
  }

SwaggerConfig.java

• Bearer token 사용 설정

  @Bean
  public OpenAPI api() {
    SecurityScheme apiKey = new SecurityScheme()
      .type(SecurityScheme.Type.APIKEY)
      .in(SecurityScheme.In.HEADER)
      .name("Authorization");

    SecurityRequirement securityRequirement = new SecurityRequirement()
      .addList("Bearer Token");

    return new OpenAPI()
      .components(new Components().addSecuritySchemes("Bearer Token", apiKey))
      .addSecurityItem(securityRequirement);
  }

적용 방법

1. 로그인 API 실행을 통한 사용자 token 발급

2. Authorize 버튼을 누른 뒤 Value에 발급받은 Token 값 그대로 (또는 Bearer + ' ' + <token>)입력

3. Authorize 버튼 클릭

• API들의 우측에 자물쇠 아이콘이 잠긴 것을 확인할 수 있다

4. 다른 API 실행

• 401에러(token 입력을 통한 토큰 인증을 받지 않음) 또는 403에러(인증받지 못한 token을 입력함) 없이 정상 동작됨을 확인할 수 있다

---

이제 Swagger까지 완성되었으니, front 담당 친구가 요청한 요구사항들(특정 Product 가져오는 API 생성, 제품 등록 시 img Multipart로 등록되도록 수정) 요청을 해결하고, 메인 로직을 만들 생각이다 !!! 🐣

---

REF

Bearer 인증 방식에 대해 참조한 글은 이곳과 이곳이다