[Toy Project] Swagger 🐻Bearer Token🐻설정

최지나·2023년 11월 11일

제품 재고 관리 시스템

목록 보기

10/24

프로젝트에서 API 요청에 대한 권한을 부여할 때, 유저마다 Bearer token을 부여하는 방식으로 인증을 진행하였다. (유저가 로그인에 성공하면 token을 부여하는 방식) 이를 Swagger에 적용시킨 과정을 기록하고자 한다

Bearer Token이란?

Bearer = 소유자
토큰을 전송하는 방식 중에 하나
HTTP 인증 프로토콜 중에 하나로 클라이언트가 서버의 자원에 접근하고자 할 때 헤더에 Bearer token을 포함하여 요청하여 인증을 받는다
일반적으로 OAuth나 JWT와 같은 프레임워크에서 사용된다

JWT란?

특정한 형식의 토큰을 정의하는 표준
Json web token : Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Web Token
Header, Payload, Signature의 3 부분으로 구성되며 각 부분은 Base64로 인코딩되어 표현된다 각 부분은 .을 구분자로 사용
- Header : token type, Signature 해싱 알고리즘
- Payload: 데이터
- Signature: 토큰을 인코딩, 유효성 검증. 헤더와 페이로드를 해싱, 인코딩

사용 방법
인증 header에 Authorization: Bearer <token> 추가하여 요청

ex) Postman을 사용한 API 요청 시 추가된 header 에시

Swagger에서 Bearer Token 설정

코드

JwtUtil.java

HTTP 요청에서 JWT 토큰을 추출

  public String resolveToken(HttpServletRequest request) {
    ContentCachingRequestWrapper wrappedRequest = new ContentCachingRequestWrapper(
      request
    );
    String token = wrappedRequest.getHeader("Authorization");
    if (token != null && token.startsWith("Bearer ")) {
      token = token.substring(7);
    }
    return token;
  }

JwtAuthenticationFilter.java

요청에서 추출한 토큰을 검증하고, 유효한 경우 사용자 인증을 수행

@Autowired
  private JwtUtil jwtUtil;

  @Override
  public void doFilter(
    ServletRequest servletRequest,
    ServletResponse servletResponse,
    FilterChain filterChain
  ) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) servletRequest;

    String token = jwtUtil.resolveToken(request);
    request.setAttribute("token", token);

    if (token != null && jwtUtil.validateToken(token)) {
      Authentication auth = jwtUtil.getAuthentication(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }

    filterChain.doFilter(request, servletResponse);
  }

SwaggerConfig.java

Bearer token 사용 설정

  @Bean
  public OpenAPI api() {
    SecurityScheme apiKey = new SecurityScheme()
      .type(SecurityScheme.Type.APIKEY)
      .in(SecurityScheme.In.HEADER)
      .name("Authorization");

    SecurityRequirement securityRequirement = new SecurityRequirement()
      .addList("Bearer Token");

    return new OpenAPI()
      .components(new Components().addSecuritySchemes("Bearer Token", apiKey))
      .addSecurityItem(securityRequirement);
  }

적용 방법

로그인 API 실행을 통한 사용자 token 발급

Authorize 버튼을 누른 뒤 Value에 발급받은 Token 값 그대로 (또는 Bearer + ' ' + <token>)입력

Authorize 버튼 클릭

API들의 우측에 자물쇠 아이콘이 잠긴 것을 확인할 수 있다

다른 API 실행

401에러(token 입력을 통한 토큰 인증을 받지 않음) 또는 403에러(인증받지 못한 token을 입력함) 없이 정상 동작됨을 확인할 수 있다

이제 Swagger까지 완성되었으니, front 담당 친구가 요청한 요구사항들(특정 Product 가져오는 API 생성, 제품 등록 시 img Multipart로 등록되도록 수정) 요청을 해결하고, 메인 로직을 만들 생각이다 !!! 🐣

REF

Bearer 인증 방식에 대해 참조한 글은 이곳과 이곳이다

최지나

의견 나누는 것을 좋아합니다 ლ(・ヮ・ლ)

이전 포스트

[Toy Project] Swagger 도입 시 Spring Security 설정

다음 포스트

[Toy Project] Spring Boot에서 Multipart 데이터와 다수의 RequestParam 함께 처리하기

1개의 댓글

Depth

2024년 9월 20일

안녕하세요.
SecurityScheme.Type.HTTP대신 SecurityScheme.Type.APIKEY을 사용해도 Swagger UI상에서 API 실행시 Header에 Token이 전달되셨을까요?
저는 정상적으로 Header에 토큰이 전달되지 않아 아래와 같이 코드를 변경하였습니다.
다른 방법이 있다면 알려주시면 감사합니다.

    SecurityScheme securityScheme = new SecurityScheme()
            .name("Authorization")
            .type(SecurityScheme.Type.HTTP) 
            .bearerFormat("JWT")
            .scheme("bearer");

답글 달기