[프로젝트] POSTMAN에서 JWT 토큰 자동 저장 및 요청에 자동 적용하는 방법

PROJECT

Postman에서 JWT 토큰 자동 저장 및 적용 설정

목차

• 1. 개요
• 2. 배경 지식
• 3. 설정 방법
• 4. Refresh Token 처리
• 5. 참고

1. 개요

로그인 API 호출 시 응답으로 내려오는 accessToken을 Postman 환경변수에 자동으로 저장하고, 이후 인증이 필요한 모든 API 요청에 자동으로 Bearer Token을 붙이는 설정 방법이다.

이 설정을 해두면 매번 로그인 응답에서 토큰을 복사한 뒤, 다른 요청의 Authorization 헤더에 직접 붙여넣는 과정을 반복하지 않아도 된다.

2. 배경 지식

JWT & AccessToken이란?

JWT(JSON Web Token)는 서버가 로그인한 사용자에게 발급하는 인증 토큰이다. 이 중 AccessToken은 실제 API 요청 시 로그인된 사용자임을 증명하는 토큰이다.

일반적으로 AccessToken은 보안상 만료 시간이 짧게 설정된다. 보통 30분에서 1시간 정도로 설정하는 경우가 많기 때문에, 테스트 중 토큰이 만료되면 다시 로그인해서 새 토큰을 받아야 한다.

 

Bearer란?

Bearer는 HTTP 인증 방식 중 하나다. 서버에 요청을 보낼 때 아래와 같은 형식으로 토큰을 요청 헤더에 담아 보낸다.

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6...

서버는 Bearer 뒤에 붙은 토큰을 파싱해서 사용자를 식별하고, 해당 사용자가 요청한 API에 접근할 수 있는지 검증한다.

왜 이 설정이 필요한가?

Postman으로 인증이 필요한 API를 테스트할 때, 매번 로그인 요청을 보내고 응답에서 토큰을 복사한 뒤 다른 요청 헤더에 붙여넣는 과정은 번거롭다.

특히 AccessToken이 만료되면 다시 로그인하고 토큰을 복사해서 설정해야 한다. 아래 설정을 적용하면 로그인 요청 한 번으로 이후 모든 인증 필요 요청에 토큰이 자동으로 적용된다.

3. 설정 방법

1. Environment 생성

Postman 우측 상단 Environments 메뉴에서 + 버튼을 눌러 새 환경을 생성한다.

Variable	Initial Value
baseUrl	http://localhost:8080
accessToken	비워두기

baseUrl에는 로컬 서버 주소를 입력하고, accessToken은 로그인 후 자동 저장되도록 비워둔다.

 

2. 로그인 요청 Tests 탭에 스크립트 추가

로그인 요청을 선택한 뒤 Tests 탭을 클릭하고, 로그인 응답에서 accessToken을 꺼내 환경변수에 저장하는 스크립트를 추가한다.

로그인 요청의 Tests 탭에 응답에서 accessToken을 추출해 환경변수로 저장하는 스크립트를 추가한다.

Postman 버전에 따라 Tests 또는 Post-response 영역에서 응답 후 실행 스크립트를 작성할 수 있다.

서버 응답을 JSON으로 파싱한 뒤 res.data.accessToken 값을 환경변수 accessToken에 저장하는 코드다.

스크립트 동작 방식

Postman은 요청을 Send하면 응답을 받은 직후 Tests 탭에 있는 스크립트를 자동으로 실행한다. 이 스크립트는 콘솔에 출력하는 코드가 아니라, 응답에서 값을 꺼내 환경변수에 저장하는 코드다.

• pm.response.json() — 서버에서 받은 응답 바디를 JSON 형태로 파싱한다.
• res.data.accessToken — 파싱한 응답에서 accessToken 값을 꺼낸다.
• pm.environment.set("accessToken", ...) — 꺼낸 값을 환경변수 accessToken에 저장한다.

즉, 로그인 요청을 Send하면 응답 수신 후 스크립트가 자동 실행되고, 이후 {{accessToken}}을 참조하는 모든 요청에 저장된 토큰 값이 자동으로 채워진다.

로그인 요청을 선택한 뒤 Tests 탭에 스크립트를 붙여넣고 다시 로그인 요청을 보내야 한다. 그래야 이후 요청마다 토큰이 자동으로 적용된다.

 

3. 컬렉션 Authorization 설정

컬렉션 이름을 클릭한 뒤 우측 Authorization 탭에서 아래와 같이 설정한다.

• Type: Bearer Token
• Token: {{accessToken}}

이렇게 설정하면 컬렉션 하위의 모든 요청에 자동으로 AccessToken이 붙는다.

컬렉션 Authorization에 Bearer Token 타입을 선택하고, Token 값으로 {{accessToken}}을 설정한 화면이다.

4. Refresh Token 처리

Refresh Token이 HttpOnly 쿠키로 내려오는 경우에는 Postman이 쿠키를 자동으로 관리한다. 따라서 Refresh Token을 별도로 환경변수에 저장하지 않아도 된다.

/auth/reissue 요청을 보낼 때 Postman이 저장된 쿠키를 자동으로 함께 전송하므로, 서버는 쿠키에 담긴 Refresh Token을 이용해 AccessToken을 재발급할 수 있다.

AccessToken은 환경변수로 관리하고, Refresh Token은 HttpOnly 쿠키로 관리하는 구조라면 Postman에서도 실제 브라우저 인증 흐름과 비슷하게 테스트할 수 있다.

5. 참고

• Postman 버전에 따라 컬렉션 Edit 메뉴 위치가 다를 수 있다.
• 컬렉션 이름을 직접 클릭하면 우측에 Authorization, Variables, Scripts 등의 탭이 열릴 수 있다.
• 환경변수는 반드시 활성화되어 있어야 {{accessToken}}이 정상 동작한다.
• 토큰이 만료되면 로그인 요청을 다시 보내 환경변수에 새 AccessToken을 저장하면 된다.