'openapi' 태그의 글 목록

openapi

express-openapi-validator PR 여정기! HTTP 인증 로직 개선 하기 🚀 2024.10.27 11
REST API 문서화와 인증 문제 해결 과정 2024.08.26

express-openapi-validator PR 여정기! HTTP 인증 로직 개선 하기 🚀

ppogeul 2024. 10. 27. 22:05

2024. 10. 27. 22:05

안녕하세요! express-openapi-validator의 HTTP 인증 관련 이슈를 해결하기 위해 PR을 제출했던 과정을 공유드리려고 합니다.

이전 포스트에서 express-openapi-validator를 사용하면서 발견한 인증 관련 이슈를 다뤘었는데요, 간단히 요약드리면:

Express.js로 REST API를 구축하며 JWT를 http-only 쿠키로 전달하려 했는데,
Authorization 헤더와 CSRF 토큰 검증에서 문제가 발생했습니다.

특히 validateHttp() 메서드가 Authorization 헤더를 필수로 요구하는 바람에,
쿠키로 JWT를 전달하는 상황에서도 헤더가 필요한 상황이 됐죠.

코드를 분석해보니 SecuritySchemes와 AuthValidator 클래스의 validateHttp 메서드에서 이 로직을 처리하고 있었고,
type: http로 설정된 스킴에서 Authorization 헤더를 강제하고 있었습니다.

이 문제를 해결하기 위해 Pull Request를 제출했고, 여러 번의 코드 리뷰와 수정 과정을 거쳐 마침내 Merge가 되어 express-openapi-validator의 Contributor가 된 여정을 오늘 상세히 공유드리려고 합니다! 🎉

🎯 첫 번째 시도: 쿠키 지원 추가

처음에는 단순히 Authorization 헤더 외에도 쿠키를 통한 인증을 지원하도록 다음과 같이 코드를 수정했습니다:

if (!authHeader && !authCookie) {
  throw Error(`Authorization header or cookie required`);
}

if (type === 'bearer') {
  if (authHeader && !authHeader.includes('bearer')) {
    throw Error(`Authorization header with scheme 'Bearer' required`);
  }

  if (!authHeader && authCookie === undefined) {
    throw Error(`Bearer token required in authorization header or cookie`);
  }
}

💡 코드 리뷰 피드백

제가 제출한 PR에 대해 메인테이너께서 중요한 피드백을 주셨습니다:

OpenAPI 명세에 따르면, in: cookie로 지정된 경우와 그렇지 않은 경우를 구분해야 함
에러 메시지도 각각의 상황에 맞게 다르게 처리되어야 함
- 일반적인 경우: "Authorization header required"
- 쿠키 인증의 경우: "Cookie authentication required"

🔨 두 번째 시도: 명세 기반 수정

피드백을 반영하여 코드를 수정했지만, 여기서 또 하나의 실수가 있었습니다. 바로 프로젝트의 기존 코드 스타일을 해치는 변경사항이 포함된 것이었죠..

예를 들어 함수 시그니처나 들여쓰기, 괄호 위치 등이 프로젝트의 기존 스타일과 달랐죠.

// 제가 수정한 코드
function extractErrorsFromResults(
  results: (SecurityHandlerResult | SecurityHandlerResult[])[],
) {
  return results
    .map((result) => {
      if (Array.isArray(result)) {
        return result.map((it) => it).filter((it) => !it.success);
      }
      return [result].filter((it) => !it.success);
    })
    .flatMap((it) => [...it]);
}

// 원래 프로젝트 스타일
function extractErrorsFromResults(results: (SecurityHandlerResult | SecurityHandlerResult[])[]) {
  return results.map(result => {
    if (Array.isArray(result)) {
      return result.map(it => it).filter(it => !it.success);
    }
    return [result].filter(it => !it.success);
  }).flatMap(it => [...it]);
}

이를 빠르게 원래 프로젝트의 스타일대로 되돌리고 커밋을 추가했습니다.

하지만 여기서 끝이 아니었죠. CI 파이프라인에서 테스트를 돌려보니 두 가지 심각한 문제가 발견되었습니다:

🐛 테스트 실패 발견

이후 CI에서 두 가지 테스트가 실패한다는 것을 발견했습니다:

Basic 인증에서 헤더가 없을 때 발생하는 에러
undefined.includes() 호출로 인한 에러

AssertionError: expected 'Cannot read properties of undefined (…' 
to equal 'Authorization header required'

결론은 authHeader가 undefined일 때 발생하는 에러 메시지 문제로 인한 테스트 실패였습니다.

✨ 최종 해결책

모든 피드백과 테스트 케이스를 고려하여 다음과 같이 코드를 최종 수정했습니다:

private validateHttp(): void {
  if (['http'].includes(scheme.type.toLowerCase())) {
    const authHeader = req.headers['authorization']?.toLowerCase();
    const authCookie = req.cookies[scheme.name] || req.signedCookies?.[scheme.name];

    const type = scheme.scheme?.toLowerCase();
    if (type === 'bearer') {
      if (authHeader && !authHeader.includes('bearer')) {
        throw Error(`Authorization header with scheme 'Bearer' required`);
      }
      
      if (!authHeader && !authCookie) {
        throw Error(scheme.in === 'cookie' 
          ? `Cookie authentication required`
          : `Authorization header required`);
      }
    }

    if (type === 'basic') {
      if (!authHeader) {
        throw Error(`Authorization header required`);
      }
      if (!authHeader.includes('basic')) {
        throw Error(`Authorization header with scheme 'Basic' required`);
      }
    }
  }
}

주요 개선사항:

Basic 인증과 Bearer 인증의 명확한 구분
쿠키 기반 인증 지원 (OpenAPI 명세 준수)
적절한 에러 메시지 처리
undefined 체크 강화

🎓 배운 점

OpenAPI 명세를 더 꼼꼼히 살펴봐야 했습니다
프로젝트의 전체 테스트 실행의 중요성을 다시 한번 깨달았습니다
코드 스타일 가이드를 준수하는 것의 중요성을 배웠습니다

이렇게 해서 express-openapi-validator에 작은 기여를 할 수 있었네요. 오픈소스 기여는 언제나 새로운 배움의 기회인 것 같습니다.

다음에는 또 어떤 재미있는 문제를 해결하게 될지 기대가 됩니다! 😊

'Side Project > Allini - 반려견 음식 관리' 카테고리의 다른 글

알리니 프로젝트에 전역상태관리 추가하기 (1)	2024.11.13
PostCSS와 Autoprefixer 웹팩 설정부터 문제 해결까지 (1)	2024.11.01
React 서버 컴포넌트 심층 분석! (7)	2024.10.22
Virtual Scroll: 어떤 상황에서 써야할까? (8)	2024.10.13
실제로 상용 라이브러리에서 버츄얼 스크롤을 어떻게 구현했을까? (0)	2024.10.13

REST API 문서화와 인증 문제 해결 과정

ppogeul 2024. 8. 26. 02:31

2024. 8. 26. 02:31

현재 Express.js를 사용하여 REST API를 구축 중입니다.

나중에 팀원이 합류하거나, 바쁜 일정 후에 다시 프로젝트를 봐야 할 때를 대비해 문서화를 하려 합니다.

시간의 제약 때문에 Swagger와 OpenAPI Specification을 사용해 Design First 방식으로 규격을 정의하고,

이를 기반으로 문서화하고 있습니다.

API의 검증 및 라우팅을 자동화하기 위해 express-openapi-validator 미들웨어를 사용하고 있지만, 몇 가지 문제가 발생했어요 🧐

JWT를 http-only cookie로 전달하려는데, Authorization 헤더와 CSRF 토큰 관련 검증에서 문제가 발생한 것입니다!!!

문제 상황

CSRF 토큰이 있고 Authorization 헤더가 없을 때
- Authorization 헤더 필수 에러가 발생하지 않음
- 이때 JWT 토큰은 쿠키로 전송
CSRF 토큰과 Authorization 헤더 모두 없을 때
- Authorization 헤더 필수라는 에러 발생
- 이때도 JWT 토큰은 쿠키로 전송
CSRF 토큰 없이 Authorization 헤더만 있을 때
- CSRF 토큰 필수라는 에러 발생

원인 분석

http-only cookie를 사용 중이므로, Authorization 헤더를 보내지 않더라도 쿠키의 JWT 토큰만으로 유효성을 검증하고 싶었습니다.

하지만 validateSecurity 미들웨어 로직에서 CSRF나 JWT 둘 다 누락될 경우 해당 미들웨어의 보안 핸들러가 작동하지 않는다는 사실을 알게 되었습니다.

코드 분석

express-openapi-validator의 내부 코드를 분석하면서 인증 관련 로직이 SecuritySchemes 클래스와 AuthValidator 클래스에서 처리된다는 것을 발견했습니다.

SecuritySchemes 클래스는 securityHandlers를 통해 보안 검증 핸들러를 실행합니다.
AuthValidator 클래스는 요청 헤더를 검사하고, Authorization 헤더가 있는지 확인합니다.
특히 validateHttp() 메서드는 이 Authorization 헤더를 필수로 요구하고 있었습니다. 이 때문에 type: http로 설정된 스킴에서는 Authorization 헤더가 필수였던 것입니다!!

아래는 관련 코드이니 참고해 주세요!

SecuritySchemes

class SecuritySchemes {
95    constructor(securitySchemes, securityHandlers, securities) {
96        this.securitySchemes = securitySchemes;
97        this.securityHandlers = securityHandlers;
98        this.securities = securities;
99    }
100    async executeHandlers(req) {
101        // use a fallback handler if security handlers is not specified
102        // This means if security handlers is specified, the user must define
103        // all security handlers
104        const fallbackHandler = !this.securityHandlers
105            ? defaultSecurityHandler
106            : null;
107        const promises = this.securities.map(async (s) => {
108            if (Util.isEmptyObject(s)) {
109                // anonymous security
110                return [{ success: true }];
111            }
112            return Promise.all(Object.keys(s).map(async (securityKey) => {
113                var _a, _b, _c;
114                try {
115                    const scheme = this.securitySchemes[securityKey];
116                    const handler = (_b =
117                        (_a = this.securityHandlers) === null || _a === void 0
118                            ? void 0
119                            : _a[securityKey]) !== null && _b !== void 0
120                        ? _b
121                        : fallbackHandler;
122                    const scopesTmp = s[securityKey];
123                    const scopes = Array.isArray(scopesTmp) ? scopesTmp : [];
124                    if (!scheme) {
125                        const message = `components.securitySchemes.${securityKey} does not exist`;
126                        throw new types_1.InternalServerError({ message });
127                    }
128                    if (!scheme.hasOwnProperty('type')) {
129                        const message = `components.securitySchemes.${securityKey} must have property 'type'`;
130                        throw new types_1.InternalServerError({ message });
131                    }
132                    if (!handler) {
133                        const message = `a security handler for '${securityKey}' does not exist`;
134                        throw new types_1.InternalServerError({ message });
135                    }
136                    new AuthValidator(req, scheme, scopes).validate();
137                    // expected handler results are:
138                    // - throw exception,
139                    // - return true,
140                    // - return Promise<true>,
141                    // - return false,
142                    // - return Promise<false>
143                    // everything else should be treated as false
144                    const securityScheme = scheme;
145                    const success = await handler(req, scopes, securityScheme);
146                    if (success === true) {
147                        return { success };
148                    }
149                    else {
150                        throw Error();
151                    }
152                }
153                catch (e) {
154                    return {
155                        success: false,
156                        status: (_c = e.status) !== null && _c !== void 0 ? _c : 401,
157                        error: e,
158                    };
159                }
160            }));
161        });
162        return Promise.all(promises);
163    }
164}

AuthValidator

class AuthValidator {
166    constructor(req, scheme, scopes = []) {
167        const openapi = req.openapi;
168        this.req = req;
169        this.scheme = scheme;
170        this.path = openapi.openApiRoute;
171        this.scopes = scopes;
172    }
173    validate() {
174        this.validateApiKey();
175        this.validateHttp();
176        this.validateOauth2();
177        this.validateOpenID();
178    }
179    validateOauth2() {
180        const { req, scheme, path } = this;
181        if (['oauth2'].includes(scheme.type.toLowerCase())) {
182            // TODO oauth2 validation
183        }
184    }
185    validateOpenID() {
186        const { req, scheme, path } = this;
187        if (['openIdConnect'].includes(scheme.type.toLowerCase())) {
188            // TODO openidconnect validation
189        }
190    }
191    validateHttp() {
192        const { req, scheme, path } = this;
193        if (['http'].includes(scheme.type.toLowerCase())) {
194            const authHeader = req.headers['authorization'] &&
195                req.headers['authorization'].toLowerCase();
196            if (!authHeader) {
197                throw Error(`Authorization header required`);
198            }
199            const type = scheme.scheme && scheme.scheme.toLowerCase();
200            if (type === 'bearer' && !authHeader.includes('bearer')) {
201                throw Error(`Authorization header with scheme 'Bearer' required`);
202            }
203            if (type === 'basic' && !authHeader.includes('basic')) {
204                throw Error(`Authorization header with scheme 'Basic' required`);
205            }
206        }
207    }
208    validateApiKey() {
209        var _d;
210        const { req, scheme, path } = this;
211        if (scheme.type === 'apiKey') {
212            if (scheme.in === 'header') {
213                if (!req.headers[scheme.name.toLowerCase()]) {
214                    throw Error(`'${scheme.name}' header required`);
215                }
216            }
217            else if (scheme.in === 'query') {
218                if (!req.query[scheme.name]) {
219                    throw Error(`query parameter '${scheme.name}' required`);
220                }
221            }
222            else if (scheme.in === 'cookie') {
223                if (!req.cookies[scheme.name] && !((_d = req.signedCookies) === null || _d === void 0 ? void 0 : _d[scheme.name])) {
224                    throw Error(`cookie '${scheme.name}' required`);
225                }
226            }
227        }
228    }
229}

문제 해결

기존 설정

jwt_auth:
  description: Bearer token authorization with JWT
  type: http
  scheme: bearer
  bearerFormat: JWT

jwt_auth는 type: http로 설정되어 있었고, 이 때문에 validateHttp() 메서드가 실행되어 Authorization 헤더가 필수라는 에러가 발생했습니다.

새로운 설정

jwt_auth:
  type: apiKey
  in: cookie
  name: token
  description: JWT token authentication using HTTP-Only cookies

jwt_auth를 type: apiKey로 설정하여, 이제 쿠키에서 JWT를 검증하도록 변경했습니다.

변경 후 validateApiKey() 메서드가 쿠키에서 JWT를 검증하게 됐습니다!

이제야 의도한 대로 잘 동작하네요!

다만, Authorization 헤더를 보내지 않았을 때, 에러의 원인은 파악됐지만 아직도 CSRF 토큰을 보내줬을 땐 왜 통과되는 걸까?라는 의문은 해결이 안 됐습니다.

그리고 그 의문은 제가 작성해둔 아래의 validateSecurity 코드를 다시 돌아보며 풀리게 됐어요..😭

validateSecurity: {
	handlers: {
        jwt_auth: async (req) => {
          const isTokenValid = await authHandler(req);
          return isTokenValid && csrfCheck(req);
        },
        csrf_token: authHandler,
     },
},

csrf_token의 handler는 csrf_token을 보내주지 않았을 땐 동작하지 않았습니다.
그래서 저는 위처럼 jwt_auth에서 jwt_auth가 있을 시 csrf_token의 체크도 함께해 주도록 만들었어요.

하지만 핸들러를 이런 식으로 등록해야 하는 건 부자연스럽다고 생각합니다.
그래서 이 부분은 더 검토해 본 후 공유하려 합니다.
하지만 오늘은 type: http에 대한 validateHttp 로직이 AuthValidator Header를 필수로 요구한다는 게 메인 주제이니 여기서 더 다루진 않겠습니다.

추가 고려 사항

type: apiKey로 변경하면 Bearer 토큰에 대한 검증이 사라진다는 문제가 있습니다.

기존에는 type: http 설정 덕분에 validateHttp 메서드가 실행되었고, 이 메서드는 Authorization 헤더에 Bearer 토큰을 요구하면서 JWT를 검증했습니다. 하지만 type: apiKey로 변경하게 되면 이제 validateApiKey 메서드가 실행되고 validateApiKey는 Bearer 토큰 형식을 전혀 다루지 않습니다.

왜 Bearer 검증이 중요할까요?
JWT 토큰은 기본적으로 Bearer 토큰으로 전송되는 경우가 많습니다.

즉, Authorization: Bearer <JWT> 형태로 전송되기 때문에, 이 방식을 그대로 사용하고 싶다면 type: http와 scheme: bearer 설정을 유지해야 합니다. 이렇게 해야 validateHttp가 적절히 Bearer 토큰을 검증 가능할 테니까요.

하지만 단순히 JWT만 검증하고 싶고 Bearer 형식에 얽매이지 않겠다면, 현재처럼 type: apiKey로 설정한 후 쿠키에서 JWT를 검증하는 로직으로 충분합니다.

현재까진, JWT를 Bearer 형식으로 유지하고 싶다면 validateHttp() 메서드에서 쿠키로 전달된 JWT도 함께 검증하도록 로직을 추가하는 것이 바람직하다고 판단됩니다.

결론

쿠키 기반 JWT 인증만 사용한다면, type: apiKey로 설정한 후 쿠키에서 JWT를 검증하는 방식을 사용해야 합니다.
하지만 Bearer 토큰 방식의 검증이 필요하다면 type: http 설정을 유지하고, validateHttp()에서 쿠키를 처리하는 로직을 추가해야 합니다.

제가 생각한 방식이 맞는지, 놓친 부분은 없는지 검토하기 위해 validateHttp 메서드를 수정후 PR을 남겨둔 상태입니다.
빠른 적용 후 피드백을 위해 연관된 테스트 코드까진 손을 대지 않았지만,
프로젝트를 진행하며 더 깊게 고민해 볼 예정입니다!

📃 참고 문헌
npm-package
GitHub - cdimascio/express-openapi-validator

'Side Project > Allini - 반려견 음식 관리' 카테고리의 다른 글

실제로 상용 라이브러리에서 버츄얼 스크롤을 어떻게 구현했을까? (0)	2024.10.13
SVG를 컴포넌트처럼 사용하기 위한 Webpack 설정 (4)	2024.10.08
Yarn Berry 사용 시 PnP 모드에서도 node_modules 폴더가 생기는 이유는? (2)	2024.09.02
Webpack 5로 ReactJS 프로젝트 설정하기: 폰트 파일 에러 해결 경험담 (0)	2024.08.09
알레르기 관리를 위한 반려견 음식 관리 프로젝트를 소개합니다! (0)	2024.05.14

PREV 이전 1 NEXT 다음

Dorong Dorong 💻😴

openapi

express-openapi-validator PR 여정기! HTTP 인증 로직 개선 하기 🚀

🎯 첫 번째 시도: 쿠키 지원 추가

💡 코드 리뷰 피드백

🔨 두 번째 시도: 명세 기반 수정

🐛 테스트 실패 발견

✨ 최종 해결책

🎓 배운 점

'Side Project > Allini - 반려견 음식 관리' 카테고리의 다른 글

REST API 문서화와 인증 문제 해결 과정

문제 상황

원인 분석

코드 분석

문제 해결

추가 고려 사항

결론

'Side Project > Allini - 반려견 음식 관리' 카테고리의 다른 글

+ Recent posts

티스토리툴바