Cara Menguji Otentikasi JWT pada API

Anda baru saja mengimplementasikan otentikasi JWT (JSON Web Token) di API Anda. Ini elegan, tanpa status, dan aman. Namun sekarang tiba pada bagian krusial: mengujinya secara menyeluruh. Bagaimana Anda memverifikasi bahwa endpoint yang dilindungi dengan benar menolak permintaan tanpa token? Bagaimana Anda menguji masa berlaku token? Bagaimana Anda mensimulasikan peran pengguna yang berbeda?

Jika Anda menggunakan perintah curl atau menulis skrip satu kali, Anda akan menemukan cara yang jauh lebih baik. Apidog mengubah pengujian JWT dari pekerjaan membosankan menjadi alur kerja yang efisien dan kuat.

Dalam panduan ini, kami akan membahas secara persis cara menguji otentikasi JWT di API menggunakan Apidog, termasuk cara mengonfigurasinya, mengotomatiskan validasi, dan menghindari kesalahan umum. Selain itu, kami akan membahas semua metode otentikasi yang didukung Apidog, sehingga Anda tahu bahwa Anda terlindungi apa pun stack teknologi Anda.

Sekarang, mari kita bahas secara persis bagaimana menguasai pengujian otentikasi JWT dengan Apidog, dan menjelajahi berbagai metode otentikasi yang didukungnya.

Mengapa Pengujian JWT Sangat Penting

Otentikasi JWT telah menjadi standar untuk mengamankan API modern. Namun dengan kekuatannya datang kompleksitas yang memerlukan pengujian yang ketat:

• Validasi Token: Apakah API Anda memvalidasi tanda tangan token dengan benar?
• Perlindungan Endpoint: Apakah endpoint Anda benar-benar terlindungi tanpa token yang valid?
• Kontrol Akses Berbasis Peran (RBAC): Apakah token yang berbeda (dengan klaim yang berbeda) mendapatkan tingkat akses yang benar?
• Masa Berlaku Token: Apakah API Anda dengan benar menolak token yang kedaluwarsa?
• Penanganan Kesalahan: Apakah Anda mengembalikan respons 401 Unauthorized yang jelas dengan pesan yang membantu?

Menguji skenario ini secara manual dengan alat baris perintah atau plugin browser adalah pekerjaan yang membosankan dan rawan kesalahan. Apidog menyediakan pendekatan terpusat, visual, dan otomatis untuk menangani semua ini.

Memulai: Mengatur Otentikasi JWT Anda di Apidog

Apidog membuat konfigurasi otentikasi JWT menjadi intuitif. Mari kita uraikan langkah demi langkah.

Langkah 1: Buat Permintaan Otentikasi Anda

Pertama, Anda perlu mendapatkan token JWT dari endpoint otentikasi Anda (misalnya, POST /api/auth/login).

Di Apidog, buat permintaan POST baru.

Atur URL ke endpoint login Anda.

Di tab Body, tambahkan kredensial yang diperlukan (biasanya JSON seperti {"username": "test", "password": "test"}).

Kirim permintaan tersebut. Anda akan menerima respons 200 OK dengan token di dalam body, seringkali terlihat seperti:

{
  "access_token": "eyJhbGciOiJIUzI1NiIs...",
  "token_type": "bearer",
  "expires_in": 3600
}

Langkah 2: Ekstrak dan Simpan Token

Di sinilah Apidog unggul. Alih-alih menyalin token secara manual untuk setiap permintaan, Anda dapat mengotomatiskan ini.

Di tab Tests dari permintaan login Anda, tambahkan skrip untuk mengekstrak token dari respons dan menyimpannya sebagai variabel lingkungan.

// Contoh Skrip Pengujian Apidog
const responseJson = pm.response.json();
// Ekstrak access_token dari respons
const accessToken = responseJson.access_token;
// Simpan di variabel lingkungan bernama 'jwt_token'
pm.environment.set("jwt_token", accessToken);

Jalankan permintaannya. Apidog akan menjalankan skrip ini dan menyimpan token ke lingkungan aktif Anda.

Langkah 3: Konfigurasi Otentikasi Bearer JWT untuk Endpoint yang Dilindungi

Sekarang, untuk setiap endpoint yang memerlukan otentikasi JWT (misalnya, GET /api/users/me):

1. Buat permintaan baru ke endpoint yang dilindungi.
2. Buka tab Auth.
3. Dari dropdown Type, pilih "JWT Bearer".

Ini adalah inti dari pengaturan. Tipe otentikasi JWT Bearer Apidog dirancang khusus untuk standar ini.

1. Di kolom Token, Anda sekarang dapat mereferensikan variabel lingkungan yang disimpan dengan menggunakan kurung kurawal ganda: {{jwt_token}}.
2. Kolom Prefix biasanya Bearer (yang merupakan standar dan secara otomatis diterapkan oleh Apidog untuk jenis otentikasi ini).

Apa yang terjadi di balik layar? Saat Anda mengirim permintaan ini, Apidog secara otomatis memformat header Authorization untuk Anda:

Authorization: Bearer eyJhbGciOiJIUzI1NiIs...

Tidak perlu mengedit header secara manual!

Alur Kerja Pengujian JWT Tingkat Lanjut dengan Apidog

1. Menguji Masa Berlaku dan Perpanjangan Token

Uji yang tangguh harus memeriksa bagaimana API Anda menangani token yang kedaluwarsa.

• Simulasikan Kedaluwarsa: Anda dapat mengubah variabel lingkungan jwt_token secara manual ke string token yang kedaluwarsa dan menjalankan kembali permintaan endpoint yang dilindungi Anda. Mereka harus mengembalikan 401 Unauthorized.
• Otomatiskan Alur Pembaruan: Jika API Anda memiliki endpoint token refresh (POST /api/auth/refresh), Anda dapat membangun urutan pengujian di Apidog:

1. Meminta endpoint yang dilindungi dengan token yang kedaluwarsa (harus 401).
2. Memanggil endpoint refresh dengan token refresh untuk mendapatkan access_token baru.
3. Secara otomatis memperbarui variabel lingkungan jwt_token dengan token baru.
4. Mencoba kembali endpoint yang dilindungi asli (sekarang mengharapkan 200 OK).

2. Menguji Kontrol Akses Berbasis Peran (RBAC)

Uji apakah pengguna dengan klaim "role": "user" tidak dapat mengakses endpoint admin.

1. Buat variabel lingkungan terpisah untuk token pengguna yang berbeda: {{admin_jwt_token}} dan {{user_jwt_token}}.
2. Untuk endpoint khusus admin (misalnya, DELETE /api/users/123), buat dua kasus uji di Apidog:

• Kasus Uji A: Gunakan {{admin_jwt_token}}. Yang diharapkan: 200 OK atau 204 No Content.
• Kasus Uji B: Gunakan {{user_jwt_token}}. Yang diharapkan: 403 Forbidden.

3.   Anda dapat menjalankan ini sebagai bagian dari rangkaian pengujian otomatis untuk memastikan logika RBAC Anda selalu ditegakkan.

3. Menguji Token yang Rusak atau Tidak Valid

Apidog memudahkan pengujian kasus-kasus ekstrem:

• Tanpa Token: Cukup nonaktifkan atau hapus konfigurasi otentikasi untuk permintaan dan kirimkan. Verifikasi Anda mendapatkan 401.
• Token Rusak: Atur variabel jwt_token ke string acak seperti "invalid" dan kirim permintaan. Seharusnya mengembalikan 401.
• Tanda Tangan yang Dirusak: Anda dapat menggunakan alat online untuk mendekode JWT yang valid, mengubah klaim, dan meng-encode ulang dengan tanda tangan yang salah. Simpan token yang dirusak ini ke lingkungan Anda dan uji dengannya.

Di Luar JWT: Spektrum Penuh Otentikasi di Apidog

Meskipun JWT Bearer sangat umum, API modern menggunakan berbagai metode otentikasi. Kekuatan Apidog adalah dukungan komprehensifnya untuk semua metode tersebut dalam satu antarmuka terpadu.

1. Otentikasi Kunci API

Metode paling sederhana dan paling umum untuk komunikasi mesin-ke-mesin.

• Di Apidog: Pilih "API Key" dari dropdown tipe Otentikasi.
• Konfigurasi: Pilih apakah kunci ditempatkan di header (misalnya, X-API-Key) atau parameter kueri. Masukkan nilai kunci Anda, yang juga dapat mereferensikan variabel lingkungan {{api_key}}.

2. Otentikasi Dasar

Permintaan nama pengguna dan kata sandi klasik, sering digunakan untuk sistem lama atau endpoint login awal.

• Di Apidog: Pilih "Basic Auth".
• Konfigurasi: Masukkan nama pengguna dan kata sandi. Apidog secara otomatis meng-encode mereka dalam base64 dan menambahkan header Authorization: Basic ....

3. OAuth 2.0

Standar industri untuk delegasi dan otorisasi pengguna. Di sinilah Apidog menjadi sangat kuat.

• Di Apidog: Pilih "OAuth 2.0".
• Alur yang Didukung: Ini memandu Anda mengonfigurasi alur Kode Otorisasi (yang paling umum untuk aplikasi web), alur Kredensial Klien (untuk mesin-ke-mesin), dan lainnya.
• Manajemen Token Otomatis: Apidog dapat menangani seluruh proses OAuth, mengarahkan ke server otorisasi, menangkap kode otorisasi, dan menukarnya dengan token akses. Kemudian secara otomatis melampirkan token ke permintaan berikutnya sebagai token Bearer.

4. Otentikasi Hawk

Skema yang kurang umum tetapi aman menggunakan kode otentikasi pesan.

• Di Apidog: Pilih "Hawk Authentication" dan isi ID, kunci, dan algoritma yang diperlukan.

5. Tanda Tangan AWS

Sangat penting untuk menguji API yang di-hosting di Amazon Web Services.

• Di Apidog: Pilih "AWS Signature".
• Konfigurasi: Masukkan Kunci Akses AWS Anda, Kunci Rahasia, Wilayah, dan nama Layanan (misalnya, execute-api). Apidog secara otomatis menghitung dan menambahkan header AWS Signature v4 yang kompleks untuk Anda.

6. Otentikasi Digest

Protokol tantangan-respons yang lebih aman daripada Basic Auth.

• Di Apidog: Pilih "Digest Auth" dan berikan nama pengguna dan kata sandi.

Pendekatan terpadu ini berarti Anda dapat menguji setiap endpoint API Anda, terlepas dari metode otentikasinya, dalam proyek dan antarmuka yang sama.

Membuat Rangkaian Uji dan Dokumentasi yang Kuat

Setelah Anda mengonfigurasi otentikasi dan menguji endpoint Anda secara manual, Apidog memungkinkan Anda mengukur ini menjadi alur kerja tingkat profesional.

1. Buat Koleksi Uji

Kelompokkan semua permintaan untuk fitur tertentu (misalnya, "Manajemen Pengguna") ke dalam satu koleksi. Anda dapat menjalankan seluruh koleksi dengan satu klik, memastikan semua endpoint yang dilindungi JWT Anda bekerja sama dengan benar.

2. Parameterisasi dengan Lingkungan

Gunakan lingkungan Apidog yang berbeda (misalnya, "Pengembangan," "Staging," "Produksi") untuk menyimpan kumpulan variabel yang berbeda. {{jwt_token}} Anda di lingkungan "Pengembangan" dapat menunjuk ke server lokal Anda, sementara di "Produksi" menggunakan kredensial langsung (tetapi uji). Ubah konteks secara instan.

3. Hasilkan dan Bagikan Dokumentasi

Apidog secara otomatis membuat dokumentasi API yang indah dan interaktif dari permintaan Anda. Dokumentasi ini akan dengan jelas menunjukkan endpoint mana yang memerlukan otentikasi JWT Bearer, membuatnya langsung jelas bagi pengembang frontend atau seluler Anda.

Kesimpulan: Dari Membosankan Menjadi Transformasional

Pengujian otentikasi JWT tidak lagi harus menjadi proses manual yang rentan. Apidog menyediakan solusi terintegrasi yang lengkap yang menangani seluruh siklus hidup: mulai dari mendapatkan token, hingga mengonfigurasi otentikasi untuk endpoint, hingga membangun rangkaian pengujian otomatis yang memvalidasi skenario positif dan negatif.

Dukungannya melampaui JWT untuk mencakup spektrum penuh standar otentikasi API modern – Kunci API, Dasar, OAuth 2.0, dan lainnya – semuanya dalam antarmuka intuitif yang sama.

Dengan mengadopsi Apidog, Anda beralih dari sekadar memeriksa apakah API Anda berfungsi menjadi memverifikasi dengan percaya diri bahwa model keamanannya kuat, andal, dan siap untuk produksi. Berhentilah menyalin dan menempelkan token; mulailah membangun strategi pengujian otomatis yang profesional.