클라이언트에서 사용자의 인증 정보를 서버에 전달함(로그인 할 때 아이디, 비밀번호를 입력하면 그 값이 서버로 전달된다는 말)
서버는 인증을 처리한 뒤 해당 사용자에 대해 세션을 생성함
세션 정보는 서버에 저장되고 클라이언트는 세션 id를 받아 브라우저(쿠키)에 저장
클라이언트는 이후 요청에 대해 세션 id를 서버에 넘김
서버는 전달 받은 세션 id를 매치되는 저장 중인 세션 정보로 인증을 처리함
만약 세션 id가 만료되었을 경우 1번 과정부터 다시 이루어짐
토큰방식은 토큰 정보를 서버에 저장하지 않음. 대표적인 방식으로 JWT(JSON Web Token)가 있음
클라이언트에서 사용자의 인증 정보를 서버에 전달(세션 방식과 동일)
서버는 인증 정보로 인증을 처리하고 (세션 대신) JWT를 생성하여 클라이언트에 전달
클라이언트는 JWT를 브라우저(localStorage)에 저장
클라이언트는 이후 이루어지는 요청에 JWT를 이용
서버는 JWT를 검증하여 인증을 처리
JWT가 만료되면 토큰을 refresh 함
세션방식의 단점은 매번 인증을 위해 데이터베이스에 질의를 거쳐야 한다는 것.
슈퍼에서 주류를 구매할 때 상황으로 비유를 하자면 세션 방식은 주류 구매자(클라이언트)가 주민등록번호(사용자의 인증 정보)를 말하면 주류 판매자(서버)는 주민센터(데이터베이스)에 전화해서 이 사람의 주민번호가 이게 맞는지 확인하는 방식이고, 토큰 방식은 주류 구매자(클라이언트)가 술을 사려고 할 때(로그인, 회원가입 등을 하려고 할 때) 주류 판매자(서버)에게 주민등록증(토큰)을 제시하면 바로 구매할 수 있는 방식이라고 생각하면 됨
- 로컬스토리지 vs 쿠키
쿠키는 매번 모든 요청에 실려서 보내짐. 회원정보 같은 매번 보내줘야 하는 것은 쿠키에 쓰는 것이 유리함.
쿠키의 최대 크기 4,096 bytes, 로컬스토리지는 5MB. 많은 양을 저장할 때는 로컬 스토리지가 유리함.
쿠키는 만료가 있지만, 로컬스토리지는 만료가 없음.
쿠키를 설정하는 건 약간 어려움. 로컬스토리지가 사용하기에 훨씬 편리함.
JWT를 어디에 저장해야 할지는 의견이 분분함. 이 강의에서는 JWT를 로컬스토리지에 저장할 예정.
공식문서 링크 타고 들어가서 제일 밑으로 내리면 A full example이 있다 여길 참고하면 된다
users앱 models.py에 A full example 담긴 걸 쭉 복사하고 원한다면 클래스명을 바꾸고 싶은 이름으로 바꿔도 된다
커스텀 유저를 만드는 경우 settings.py에서 auth 유저모델을 지정해줘야 한다
AUTH_USER_MODEL = "앱이름.유저클래스명"
나는 users앱 models.py에 유저 클래스명을 User로 했기 때문에 아래와 같이 설정해줬다
AUTH_USER_MODEL = "users.User"
- custom user 어드민 만들기
유저 모델을 커스텀 할 때 유저매니저 모델도 같이 작성해줘야 한다(장고 문서에서 예시로 제공한 건 다 필수 사항임)
위 공식문서에서 models.py 복사한 부분 아래에 보면 admin.py에 작성하라고 하는 부분이 있다 그 부분을 다 복사한다
다 복사해보면 먼저 import 부분에 오류가 있다고 뜰 거다
from customauth.models import MyUser
customauth는 내가 만는 유저앱의 이름이 들어갈 자리다. 나는 유저앱 이름을 users로 지었으니 customauth를 users로 변경해준다
그리고 MyUser는 models.py에 있는 유저모델의 클래스명이다. 난 User로 이름을 변경해줬으므로 MyUser를 User로 변경한다
다만 MyUser가 아래에 여러군데에서 쓰인 것을 확인할 수 있을 거다
vscode의 기능을 이용해 한 번에 변경해주면 빼먹은 곳 없이 잘 변경할 수 있다
MyUser에 왼쪽 마우스 한 번 클릭한 후 오른쪽 마우스를 클릭한다 '모든 항목 변경'이 있다 영어버전에는 뭐라고 써있는지는 모르겠는데 오른쪽에 단축키가 ctrl+F2가 써있는 부분이 해당되는 부분일 것이다
그걸 클릭하면 MyUser부분에 모든 커서가 잡힌다
원래 써 있는 걸 지우고 User로 바꿔준다
앞에 My만 지우고 싶은 경우 커서를 방향키로 이동하면 단어 기준으로 이동하기 때문에 M 앞으로 커서가 이동한다 그 상태에서 delete 키를 2번 눌러 My를 지워준다
MyUser가 모두 User로 바뀐 것을 확인할 수 있다
코드를 찬찬히 보면서 models.py에서 커스텀한 부분이 있다면 변경한대로 수정해주면 된다
- 회원가입과 로그인을 위한 urls.py와 views.py 코드 짜기
먼저 users앱에 serializers.py 파일 생성 후 아래와 같이 코드를 입력한다
from rest_framework import serializers
from users.models import User
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = "__all__"
그 다음 views.py를 작성해준다
from rest_framework import status
from rest_framework.views import APIView
from rest_framework.response import Response
from users.serializers import UserSerializer
# Create your views here.
class UserView(APIView):
def post(self, request):
serializer = UserSerializer(data=request.data)
if serializer.is_valid():
serializer.save()
return Response({'message':'가입완료!'}, status=status.HTTP_201_CREATED)
else:
return Response({'message':f'${serializer.errors}'}, status=status.HTTP_400_BAD_REQUEST)
필요한 것들을 import해주고, 클래스형 뷰로 작성해준다
post 요청일 때 함수, 2주차에서 배운대로 serializer에 데이터를 담아서 유효성검사를 해준 후 저장하고 Response를 띄운다
포스트맨으로 회원가입 테스트를 해보면
가입이 잘 된 것을 확인할 수 있다
근데 데이터베이스에 가보면
패스워드가 암호화 되지 않은 채로 저장된 것을 확인할 수 있다
시리얼라이저에서 암호화 작업을 해줘야 한다
아까 적어둔 UserSerializer 클래스에 create 함수를 만든다
def crea 정도까지 쓰면 아래 create가 나오는 걸 확인할 수 있는데 tab 눌러서 자동완성해보면
이렇게 작성된다 원래 있는 create 함수에 오버라이딩을 하는 거임 이제 여기서 수정을 해나가면 되는데
# users/serializers.py
...
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = "__all__"
def create(self, validated_data):
user = super().create(validated_data)
password = user.password
user.set_password(password)
return user
user 변수에 데이터를 담는다 validated_data에는 회원가입 시 입력하는 email과 password가 담겨있다
이때 password에는 암호화 되어 있지 않은 상태로 입력한 그대로 나온다
user 변수에 저장된 password를 password 변수에 담고 set_password 메서드를 이용해 암호화한다
이후 포스트맨으로 실행해 보면 회원가입은 잘 되지만
DB에는 여전히 1234 그대로 저장되는 것을 확인할 수 있다
DB에 암호화된 패스워드를 저장하기 위해서는 아래와 같이 save() 메서드를 꼭 써줘야 한다
# users/serializers.py
...
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = "__all__"
def create(self, validated_data):
user = super().create(validated_data)
password = user.password
user.set_password(password)
user.save() # 꼭 추가!!
return user
이렇게 하고 다시 포스트맨으로 회원가입을 하고 DB에 가보면 암호화된 패스워드가 저장된 것을 확인할 수 있다
포스트맨으로 회원가입 실행데이터베이스 password 필드에 암호화된 비밀번호를 확인할 수 있다
나중에 회원정보를 수정할 때를 대비해서 users/serializers.py 파일에 update함수도 똑같이 작성해준다
# users/serializers.py
...
class UserSerializer(serializers.ModelSerializer):
class Meta:
...
def create(self, validated_data):
...
def update(self, validated_data):
user = super().create(validated_data)
password = user.password
user.set_password(password)
user.save()
return user
