[django] django rest framework 인증 절차

django 는 기능이 참 너무 많다 ^^;

지금은 서버는 django로, 프론트는 angular를 붙여서 간단한 웹을 만들어 보려고 한다.

웹 만들때 항상 회원가입/로그인 기능은 맨 앞에 구현한다. 어떻게 구현하면 좋을까... 찾아보다가

이 기능을 구현할 수 있는 방법이 너무 많아서 정보를 찾기 더 어려웠다.

일단 나는 django에서 django rest framework라는 것을 사용해서 API를 만드려고 한다. 순수 django 튜토리얼에는 바로 template 랑 연결해서 설명하는 부분이 많았다. 나는 그냥 API 만 만들고 싶다고!! 그래서 찾은 것이 django REST framework.

https://www.django-rest-framework.org/api-guide/authentication

# django REST framework 설치 using pip pip install djangorestframework

# settings.py INSTALLED APPS 에 추가해야함 INSTALLED_APPS = [ ... 'rest_framework', ]

django REST framework 에서도 인증 관련해서 제공하는 것이 1개가 아닌 여러 개다.

나는 그중에 TokenAuthentication을 이용해서 로그인을 구현해 보려고 한다.

TokenAuthentication

Token authentication is appropriate for client-server setups, such as native desktop and mobile clients.

이렇게 나와있어서 내가 하려는 것과 일치해서 이걸로 결정 ~

솔직히 처음 로그인을 구현하려고 하면 도대체 그 과정이 어떻게 되는지 모를 수 도 있다.

나는 쉽게 정리하면 아래와 같은 과정이라고 생각한다.

로그인 로그아웃 과정 (token authentication)

1. 화면에서 사용자가 email, password를 입력을 한다.

2. 사용자가 입력한 email, password 를 서버로 보낸다.

3. Email, password 가 맞다면 고유한 TOKEN을 발행한다.

4. 발행된 토큰을 response로 보낸다 (browser).

5. 토큰을 클라이언트 어딘가에 저장해 놓는다. (cookie or session)

6. 다른 API를 사용할 때마다 header에 TOKEN을 같이 서버에 보낸다.

7. 서버는 TOKEN 을 확인해서 token 이 valid 한지 확인한 뒤 response를 보낸다.

8. 로그아웃은 토큰을 지우는 것과 같다.

코드는 내 깃헙에 올라가 있다.

https://github.com/paige0701/django-practice

# djangoPractice/settings.py => 아래 내용 추가 INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] REST_FRAMEWORK = [ 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.TokenAuthentication', ], 'DEFAULT_PERMISSION_CLASSES': ('rest_framework.permissions.IsAuthenticated',) ]

# settings.py 를 수정한 후에는 migrate 를 실행한다 python manage.py migrate

# user/views.py @api_view(['POST']) @permission_classes((AllowAny,)) def login(request): email = request.data.get('email') password = request.data.get('password') if email is None or password is None: return Response({'error': 'Please provide both username and password'}, status=HTTP_400_BAD_REQUEST) # 여기서 authenticate로 유저 validate user = authenticate(email=email, password=password) if not user: return Response({'error': 'Invalid credentials'}, status=HTTP_404_NOT_FOUND) # user 로 토큰 발행 token, _ = Token.objects.get_or_create(user=user) return Response({'token': token.key}, status=HTTP_200_OK)

# djangoPractice/urls.py urlpatterns = [ path('admin/', admin.site.urls), path('api/login/', views.login, name='login') # 추가!! ]

API test는 postman으로 한다. 위에 view에서 정의한 데로 테스트를 하면 token 이 발행된다!!

그럼 이 토근은 클라이언트 쪽에 저장해 둔 뒤에 다른 API를 사용할 때마다 header에 authorization : Token fb... 이렇게 넣어주면 된다!

실제로 테스트를 해보겠다. Get으로 /api/polls를 호출했는데 권한이 없다고 나온다!!

아까 로그인 API에서 받은 토근을 header에 넣어서 API를 호출했을 때는 아래와 같이 데이터가 온다!!!!

TokenAuthentication 말고도 SessionAuthentication, RemoteUserAuthentication 등등 방법은 많다.

이외에도 django REST framework에서 지원하는 인증이 아닌 다른 것도 많다. 많이 들어본 것 중에는

Django OAuth Tookit, JWT Web Token Authentication, django-rest-knox, django-rest-auth ... 등등등이 있다.

권한과 인증을 처리하는 방식은 너무나도 많고..

나는 이 중에서 django REST framework 가 제공하는 TokenAuthentication을 사용해서 인증을 처리했다는 것이 이 포스팅의 핵심

from http://paigeblog.tistory.com/17 by ccl(A) rewrite - 2020-03-06 15:54:25