sam-api/app/Http/Middleware/ApiKeyMiddleware.php

<?php

namespace App\Http\Middleware;

use App\Models\Members\User;
use Closure;
use Illuminate\Auth\AuthenticationException;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\DB;
use Illuminate\Support\Facades\Log;
use Laravel\Sanctum\PersonalAccessToken;

class ApiKeyMiddleware
{
    public function handle(Request $request, Closure $next)
    {
        // 화이트리스트(인증 예외 라우트) - API Key 검증 제외
        $publicRoutes = [
            '/',                 // Root (Swagger redirect)
            'api/v1/signup',
            'api/v1/register',
            'api/v1/refresh',
            'api/v1/debug-apikey',
            'api/v1/internal/*', // 내부 서버간 통신 (HMAC 인증 사용)
            'api-docs',          // Swagger UI
            'api-docs/*',        // Swagger 하위 경로
            'docs',              // L5-Swagger UI
            'docs/*',            // L5-Swagger 하위 경로 (에셋 등)
            'docs/api-docs.json', // Swagger JSON
            'up',                // Health check
        ];

        $currentRoute = $request->route()?->uri() ?? $request->path();

        // 화이트리스트 패턴 매칭 (와일드카드 지원)
        $isPublicRoute = false;
        foreach ($publicRoutes as $pattern) {
            if ($pattern === $currentRoute || fnmatch($pattern, $currentRoute)) {
                $isPublicRoute = true;
                break;
            }
        }

        // 공개 라우트가 아닌 경우에만 요청 정보 로깅
        if (! $isPublicRoute) {
            Log::info('API Request', [
                'ip' => $request->ip(),
                'user_id' => optional($request->user())->id,
                'method' => $request->method(),
                'uri' => $request->getRequestUri(),
                'input' => $request->except(['password', 'password_confirmation']), // 민감 정보 제외
                'user_agent' => $request->userAgent(),
                'headers' => [
                    'X-API-KEY' => $request->header('X-API-KEY') ? '***' : null,
                    'Authorization' => $request->bearerToken() ? 'Bearer ***' : null,
                    'Accept' => $request->header('Accept'),
                    'Content-Type' => $request->header('Content-Type'),
                ],
            ]);
        }

        // 공개 라우트는 API Key 검증 스킵
        if ($isPublicRoute) {
            return $next($request);
        }

        // API Key 검증
        $apiKey = $request->header('X-API-KEY');
        $validApiKey = false;

        if ($apiKey) {
            $validApiKey = DB::table('api_keys')
                ->where('key', $apiKey)
                ->where('is_active', true)
                ->exists();
        }

        if (! $validApiKey) {
            // 보안 로그 기록 (API Key 없이 접근 시도)
            Log::warning('Unauthorized API access attempt', [
                'ip' => $request->ip(),
                'uri' => $request->getRequestUri(),
                'method' => $request->method(),
                'user_agent' => $request->userAgent(),
            ]);

            return response()->json(['message' => 'Unauthorized. Invalid or missing API key'], 401);
        }

        // Bearer 인증 (Sanctum)
        $user = [];
        if ($token = $request->bearerToken()) {
            $accessToken = PersonalAccessToken::findToken($token);
            if ($accessToken && $accessToken->tokenable instanceof User) {
                $user = $accessToken->tokenable;

                if ($user) {
                    // 기본 테넌트(여러개 소속시 활성화 테넌트)
                    $tenantId = $user->userTenants
                        ->where('is_default', 1)
                        ->first()?->tenant_id
                        ?? $user->userTenants->first()?->tenant_id;

                    $tenantId = $tenantId ?? 0;

                    // tenant_id 설정
                    $request->attributes->set('tenant_id', $tenantId);
                    app()->instance('tenant_id', $tenantId);

                    // user_id 설정
                    $request->attributes->set('api_user', $user->id);
                    app()->instance('api_user', $user->id);
                }
            }
        }

        // 화이트리스트(인증 예외 라우트) - Bearer 토큰 없이 접근 가능
        $allowWithoutAuth = [
            'api/v1/login',
            'api/v1/signup',
            'api/v1/register',
            'api/v1/refresh',
            'api/v1/debug-apikey',
            'api/v1/internal/exchange-token', // 내부 서버간 토큰 교환 (HMAC 인증 사용)
            // 추가적으로 허용하고 싶은 라우트
        ];

        // 현재 라우트 확인 (경로 또는 이름)
        $currentRoute = $request->route()?->uri() ?? $request->path();

        if (! in_array($currentRoute, $allowWithoutAuth)) {
            // 인증정보(api_user, tenant_id) 없으면 튕김
            if (! app()->bound('api_user')) {
                throw new AuthenticationException('회원정보 정보 없음');
            }
        }

        $response = $next($request);

        // 응답 정보 저장
        Log::info('API Response', [
            'uri' => $request->getRequestUri(),
            'status' => $response->getStatusCode(),
            'content' => $response->getContent(), // 응답 body도 원하면!
        ]);

        return $response;
    }
}
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`<?php`

			`namespace App\Http\Middleware;`

Revert "fix : User 모델 경로 오류로 인해 User 모델만 밖으로 이동" This reverts commit 2b82483f64c6e8a4cc39fbcc73d95cdec36eda09. 2025-07-29 16:04:28 +09:00			`use App\Models\Members\User;`
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`use Closure;`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`use Illuminate\Auth\AuthenticationException;`
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`use Illuminate\Http\Request;`
			`use Illuminate\Support\Facades\DB;`
fit : swagger 내 정보 조회 description 수정 2025-07-24 11:47:54 +09:00			`use Illuminate\Support\Facades\Log;`
fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00			`use Laravel\Sanctum\PersonalAccessToken;`
First Commit (API Project) 2025-07-17 10:05:47 +09:00
			`class ApiKeyMiddleware`
			`{`
			`public function handle(Request $request, Closure $next)`
			`{`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`// 화이트리스트(인증 예외 라우트) - API Key 검증 제외`
			`$publicRoutes = [`
fix: 루트 경로(/) Swagger 접근 허용 - ApiKeyMiddleware 화이트리스트에 '/' 경로 추가 - http://api.sam.kr/ 접근 시 401 에러 해결 2025-11-14 14:41:02 +09:00			`'/', // Root (Swagger redirect)`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`'api/v1/signup',`
			`'api/v1/register',`
			`'api/v1/refresh',`
			`'api/v1/debug-apikey',`
feat: MNG→API 토큰 교환 엔드포인트 추가 - POST /api/v1/internal/exchange-token 추가 - HMAC-SHA256 서명 기반 서버간 인증 - InternalTokenService: 서명 검증 및 Sanctum 토큰 발급 - ExchangeTokenRequest: 요청 검증 (user_id, tenant_id, exp, signature) - ApiKeyMiddleware: 내부 통신 경로 화이트리스트 추가 - i18n 메시지 추가 (error.internal., message.internal.) 환경변수 필요: INTERNAL_EXCHANGE_SECRET (MNG와 동일) 2025-12-18 14:21:37 +09:00			`'api/v1/internal/*', // 내부 서버간 통신 (HMAC 인증 사용)`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`'api-docs', // Swagger UI`
			`'api-docs/*', // Swagger 하위 경로`
fix: Swagger UI 접근을 위한 화이트리스트 추가 - ApiKeyMiddleware 화이트리스트에 'docs', 'docs/*' 경로 추가 - /docs (L5-Swagger UI) 접근 시 401 에러 해결 2025-11-14 14:34:38 +09:00			`'docs', // L5-Swagger UI`
			`'docs/*', // L5-Swagger 하위 경로 (에셋 등)`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`'docs/api-docs.json', // Swagger JSON`
			`'up', // Health check`
			`];`
fit : swagger 내 정보 조회 description 수정 2025-07-24 11:47:54 +09:00
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`$currentRoute = $request->route()?->uri() ?? $request->path();`

			`// 화이트리스트 패턴 매칭 (와일드카드 지원)`
			`$isPublicRoute = false;`
			`foreach ($publicRoutes as $pattern) {`
			`if ($pattern === $currentRoute \|\| fnmatch($pattern, $currentRoute)) {`
			`$isPublicRoute = true;`
			`break;`
			`}`
			`}`

			`// 공개 라우트가 아닌 경우에만 요청 정보 로깅`
			`if (! $isPublicRoute) {`
			`Log::info('API Request', [`
			`'ip' => $request->ip(),`
			`'user_id' => optional($request->user())->id,`
			`'method' => $request->method(),`
			`'uri' => $request->getRequestUri(),`
			`'input' => $request->except(['password', 'password_confirmation']), // 민감 정보 제외`
			`'user_agent' => $request->userAgent(),`
fix: API 인증 에러 처리 개선 및 요청 로그 강화 - Handler.php: API 라우트는 Accept 헤더 없어도 JSON 응답 반환 - ApiKeyMiddleware: 요청 로그에 헤더 정보 추가 (X-API-KEY, Authorization 마스킹) - Route [login] not defined 에러 해결 - 인증 실패 시 401 JSON 응답으로 일관성 확보 2025-11-25 09:14:33 +09:00			`'headers' => [`
			`'X-API-KEY' => $request->header('X-API-KEY') ? '***' : null,`
			`'Authorization' => $request->bearerToken() ? 'Bearer ***' : null,`
			`'Accept' => $request->header('Accept'),`
			`'Content-Type' => $request->header('Content-Type'),`
			`],`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`]);`
			`}`
First Commit (API Project) 2025-07-17 10:05:47 +09:00
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`// 공개 라우트는 API Key 검증 스킵`
			`if ($isPublicRoute) {`
			`return $next($request);`
			`}`

			`// API Key 검증`
			`$apiKey = $request->header('X-API-KEY');`
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`$validApiKey = false;`

			`if ($apiKey) {`
			`$validApiKey = DB::table('api_keys')`
			`->where('key', $apiKey)`
			`->where('is_active', true)`
			`->exists();`
			`}`

style: Laravel Pint 코드 포맷팅 적용 - PSR-12 스타일 가이드 준수 - 302개 파일 스타일 이슈 자동 수정 - 코드 로직 변경 없음 (포맷팅만) 2025-11-06 17:45:49 +09:00			`if (! $validApiKey) {`
feat: API Key 보안 강화 및 Rate Limiting 구현 - 글로벌 미들웨어로 API Key 검증 적용 - 화이트리스트 확장 (Swagger, Health check 등) - Rate Limiting 미들웨어 추가 (10회/분) - 보안 로그 강화 (무단 접근 시도 기록) - 민감 정보 로깅 제외 (password 필드) 2025-11-13 20:30:34 +09:00			`// 보안 로그 기록 (API Key 없이 접근 시도)`
			`Log::warning('Unauthorized API access attempt', [`
			`'ip' => $request->ip(),`
			`'uri' => $request->getRequestUri(),`
			`'method' => $request->method(),`
			`'user_agent' => $request->userAgent(),`
			`]);`

feat : Tenant Scope 추가 - 모델에 해당 유저의 tenant_id 로 자동 매핑 (CommonCode 모델에 추가) 2025-07-25 17:31:08 +09:00			`return response()->json(['message' => 'Unauthorized. Invalid or missing API key'], 401);`
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`}`

fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00			`// Bearer 인증 (Sanctum)`
			`$user = [];`
style: Laravel Pint 코드 포맷팅 적용 - PSR-12 스타일 가이드 준수 - 302개 파일 스타일 이슈 자동 수정 - 코드 로직 변경 없음 (포맷팅만) 2025-11-06 17:45:49 +09:00			`if ($token = $request->bearerToken()) {`
fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00			`$accessToken = PersonalAccessToken::findToken($token);`
fix : Member 모델에서 User 모델로 변경 2025-07-26 14:23:13 +09:00			`if ($accessToken && $accessToken->tokenable instanceof User) {`
fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00			`$user = $accessToken->tokenable;`
feat : Tenant Scope 추가 - 모델에 해당 유저의 tenant_id 로 자동 매핑 (CommonCode 모델에 추가) 2025-07-25 17:31:08 +09:00
			`if ($user) {`
fix : 테넌트 없는 회원 처리 및 테넌트 등록시 해당 테넌트 디폴트값 설정 2025-08-14 20:19:51 +09:00			`// 기본 테넌트(여러개 소속시 활성화 테넌트)`
			`$tenantId = $user->userTenants`
			`->where('is_default', 1)`
			`->first()?->tenant_id`
			`?? $user->userTenants->first()?->tenant_id;`
fix : Trait 추가 및 query 디버깅 소스 수정 2025-07-26 14:25:45 +09:00
fix : 테넌트 없는 회원 처리 및 테넌트 등록시 해당 테넌트 디폴트값 설정 2025-08-14 20:19:51 +09:00			`$tenantId = $tenantId ?? 0;`
fix : Trait 추가 및 query 디버깅 소스 수정 2025-07-26 14:25:45 +09:00
fix : 테넌트 없는 회원 처리 및 테넌트 등록시 해당 테넌트 디폴트값 설정 2025-08-14 20:19:51 +09:00			`// tenant_id 설정`
			`$request->attributes->set('tenant_id', $tenantId);`
			`app()->instance('tenant_id', $tenantId);`
fix : Trait 추가 및 query 디버깅 소스 수정 2025-07-26 14:25:45 +09:00
fix : 테넌트 없는 회원 처리 및 테넌트 등록시 해당 테넌트 디폴트값 설정 2025-08-14 20:19:51 +09:00			`// user_id 설정`
			`$request->attributes->set('api_user', $user->id);`
fix : Trait 추가 및 query 디버깅 소스 수정 2025-07-26 14:25:45 +09:00			`app()->instance('api_user', $user->id);`
feat : Tenant Scope 추가 - 모델에 해당 유저의 tenant_id 로 자동 매핑 (CommonCode 모델에 추가) 2025-07-25 17:31:08 +09:00			`}`
fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00			`}`
			`}`

test: ItemMaster API 통합 테스트 작성 및 버그 수정 주요 작업: - ItemMaster API 통합 테스트 작성 (12개 테스트, 100% 통과) - 로그인 → API 호출 실제 플로우 시뮬레이션 - CustomTab, UnitOption CRUD 및 Reorder 테스트 버그 수정: - ApiKeyMiddleware: 로그인 엔드포인트 API Key 필수화 - ReorderRequest: validation 규칙 수정 (범용성 확보) - 5개 Controller: ApiResponse namespace 수정 - routes/api.php: reorder 라우트 순서 수정 마이그레이션: - section_templates, tab_columns 테이블 추가 테스트 결과: 12/12 통과 (82 assertions) 2025-11-20 20:28:33 +09:00			`// 화이트리스트(인증 예외 라우트) - Bearer 토큰 없이 접근 가능`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`$allowWithoutAuth = [`
			`'api/v1/login',`
fix : Auth - 회원가입 추가 2025-08-18 16:37:02 +09:00			`'api/v1/signup',`
fix: ApiKeyMiddleware 화이트리스트에 register 엔드포인트 추가 - /api/v1/register를 인증 예외 라우트에 추가 - 회원가입은 로그인 전 작업이므로 Bearer Token 불필요 - "회원정보 정보 없음" 에러 해결 2025-11-07 17:46:21 +09:00			`'api/v1/register',`
feat: API 토큰 관리 시스템 구현 (액세스/리프레시 토큰 분리) - AuthService: 토큰 발급/갱신 통합 관리 - RefreshController: POST /api/v1/refresh 엔드포인트 추가 - 액세스 토큰 2시간, 리프레시 토큰 7일 (.env 설정) - TOKEN_EXPIRED 에러 코드로 프론트엔드 자동 리프레시 지원 - 리프레시 토큰 일회성 사용 (보안 강화) - Swagger 문서 Auth 태그로 통합 2025-11-10 11:17:32 +09:00			`'api/v1/refresh',`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`'api/v1/debug-apikey',`
feat: MNG→API 토큰 교환 엔드포인트 추가 - POST /api/v1/internal/exchange-token 추가 - HMAC-SHA256 서명 기반 서버간 인증 - InternalTokenService: 서명 검증 및 Sanctum 토큰 발급 - ExchangeTokenRequest: 요청 검증 (user_id, tenant_id, exp, signature) - ApiKeyMiddleware: 내부 통신 경로 화이트리스트 추가 - i18n 메시지 추가 (error.internal., message.internal.) 환경변수 필요: INTERNAL_EXCHANGE_SECRET (MNG와 동일) 2025-12-18 14:21:37 +09:00			`'api/v1/internal/exchange-token', // 내부 서버간 토큰 교환 (HMAC 인증 사용)`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`// 추가적으로 허용하고 싶은 라우트`
			`];`

			`// 현재 라우트 확인 (경로 또는 이름)`
fix: ApiKeyMiddleware null route 오류 수정 - request->route()가 null일 때 발생하는 오류 수정 - null-safe 연산자(?->) 및 null coalescing 연산자(??) 사용 - Line 122: route()->uri() → route()?->uri() ?? path() 2025-11-14 14:51:10 +09:00			`$currentRoute = $request->route()?->uri() ?? $request->path();`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00
style: Laravel Pint 코드 포맷팅 적용 - PSR-12 스타일 가이드 준수 - 302개 파일 스타일 이슈 자동 수정 - 코드 로직 변경 없음 (포맷팅만) 2025-11-06 17:45:49 +09:00			`if (! in_array($currentRoute, $allowWithoutAuth)) {`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`// 인증정보(api_user, tenant_id) 없으면 튕김`
style: Laravel Pint 코드 포맷팅 적용 - PSR-12 스타일 가이드 준수 - 302개 파일 스타일 이슈 자동 수정 - 코드 로직 변경 없음 (포맷팅만) 2025-11-06 17:45:49 +09:00			`if (! app()->bound('api_user')) {`
fix : 테넌트 없는 회원 처리 및 테넌트 등록시 해당 테넌트 디폴트값 설정 2025-08-14 20:19:51 +09:00			`throw new AuthenticationException('회원정보 정보 없음');`
fix : 회원 인증 실패시 401 전송 2025-07-26 15:52:47 +09:00			`}`
			`}`

fit : swagger 내 정보 조회 description 수정 2025-07-24 11:47:54 +09:00			`$response = $next($request);`

			`// 응답 정보 저장`
			`Log::info('API Response', [`
			`'uri' => $request->getRequestUri(),`
			`'status' => $response->getStatusCode(),`
fix : 로그, 알람 설정 수정 2025-07-25 09:12:53 +09:00			`'content' => $response->getContent(), // 응답 body도 원하면!`
fit : swagger 내 정보 조회 description 수정 2025-07-24 11:47:54 +09:00			`]);`
fix : Bearer 인증 기능 수정 (추가) 2025-07-22 16:44:26 +09:00
fit : swagger 내 정보 조회 description 수정 2025-07-24 11:47:54 +09:00			`return $response;`
First Commit (API Project) 2025-07-17 10:05:47 +09:00			`}`
			`}`