2nd_Week_4_5.md

4주차 - 5. token인증

Token Authentication

BasicAuthentication : 보안이 취약할 수 있다.
SessionAuthentication : 외부 서비스에서 사용 불가능 하다.

따라서 TokenAuthentication을 많이 사용하며 Mobile Client에 적합하다.

수행과정

1. username, password와 1:1 매칭되는 고유 key 생성, 발급
2. 발급받은 Token을 API요청에 담아 인증처리

Token Authentication 설정하기

기존의 인증 방식과 다르게 하나의 단계를 더 거쳐야한다.
settings.py의 INSTALLED_APPS에 아래와 같이
rest_framework.authtoken을 추가하고 migrate 명령어를 실행해 주어야 한다.

INSTALLED_APPS = [
    ...
    'rest_framework',
    'rest_framework.authtoken',
    ...
]

migrate 명령어를 실행시키는 것으로 보아 모델과 연관이 있다.

Token 모델 클래스

rest_framework내부의 authtoken앱의 models.py에 있는 Token클래스다.
OneToOneField를 이용해 하나의 사용자에 하나의 Token을 발급한다.

class Token(models.Model):
    """
    The default authorization token model.
    """
    key = models.CharField(_("Key"), max_length=40, primary_key=True)
    user = models.OneToOneField(
        settings.AUTH_USER_MODEL, related_name='auth_token',
        on_delete=models.CASCADE, verbose_name=_("User")
    )
    created = models.DateTimeField(_("Created"), auto_now_add=True)

Token 생성하기

User Instance를 생성하면 Token이 자동으로 생성되는 것은 아니다.

Token을 생성하는 방법

1. authtoken앱의 views.py의 ObtainAuthToken을 이용해 생성

ObtainAuthToken의 코드는 여기에서 확인할 수 있다.

2. Python 명령어를 통한 생성

토큰 생성하기

python manage.py drf_create_token <username>

토큰 강제로 재생성하기

python manage.py drf_create_token -r <username>

3. signal을 이용한 사용자 생성시 Token생성

signal은 특정 동작이 발생했을 때 처리될 동작을 지정할 수 있도록 한다.
아래에서 사용한 post_save는 DB에 정보가 저장된 직후에 특정 동작이 수행된다.

from django.conf import settings
from django.db.models.signals import post_save
from django.dispatch import receiver
from rest_framework.authtoken.models import Token

@receiver(post_save, sender=settings.AUTH_USER_MODEL)
def create_auth_token(sender, instance=None, created=False, **kwargs):
    if created:
        Token.objects.create(user=instance)

새 사용자가 생성될 때 마다 settings.AUTH_USER_MODEL로 signal을 보낸다. user와 1:1 매칭되는 토큰을 생성해 AUTH_USER_MODEL로 보내준다.

생성한 Token을 획득하는 방법

Token을 획득할 수 있는 URL Path를 지정하고 그 URL에 POST요청을 보내 Token을 획득한다.
obtain_auth_token은 Token을 생성할 때 사용한 ObtainAuthToken에 as_view를 붙인것이다.
아래와 같이 urls.py에 추가해주고 그 URL에 POST요청을 보내면 된다.

...
from rest_framework.authtoken.views import obtain_auth_token

urlpatterns = [
    path('api-auth/', include(rest_framework.urls)),
    path('api-token-auth/', obtain_auth_token),
]

발급받은 Token을 API요청에 담아 인증처리

• 인증 성공시

request.user = <Django User Instance>
request.auth = <rest_framework.authtoken.models.BasicToken Instance>

TokenAuthentication 구현하기

Authentication, Permission 강의에 사용한 프로젝트와 동일

1. settings.py 수정하기

INSTALLED_APPS = [
    ...
    'rest_framework',
    'rest_framework.authtoken',
    'userpost.apps.UserpostConfig',
]

2. migrate 실행하기

python manage.py makemigrations
python manage.py migrate

아래와 같이 authtoken 모델도 적용되었다.

3. views.py 수정하기

settings.py에서 전역으로 적용하는 방법도 존재한다.

...
from rest_framework.authentication import TokenAuthentication
from rest_framework.permissions import IsAuthenticatedOrReadOnly


class UserPostViewSet(viewsets.ModelViewSet):
    authentication_classes = [TokenAuthentication]
    permission_classes = [IsAuthenticatedOrReadOnly]
    ...

4. 명령어로 Token 생성하기

python manage.py drf_create_token <username>

아래와 같이 Token이 생성되는 것을 확인할 수 있다.

토큰이 존재하는 상태에서 재생성하면 동일한 토큰이 발급된다.
아래의 명령어를 사용하면 강제로 토큰을 재생성한다.

python manage.py drf_create_token -r <username>

아래와 같이 이전과 다른 토큰이 재생성된 것을 확인할 수 있다.

5. 생성된 토큰 획득하기

아래와 같이 프로젝트 폴더의 urls.py에 obatin_auth_token모듈을 추가해 사용한다.
obtain_auth_token은 POST방식의 요청만 받는다.

from django.contrib import admin
from django.urls import path, include
from rest_framework.authtoken.views import obtain_auth_token
import userpost.urls
import rest_framework.urls

urlpatterns = [
    path('admin/', admin.site.urls),
    path('userpost/', include(userpost.urls)),
    path('api-auth/', include(rest_framework.urls)),
    path('api-token-auth/', obtain_auth_token)
]

6. httpie 명령어로 토큰 획득하기

• POST매서드로 요청

• GET매서드로 요청

7. 획득한 토큰으로 인증하기

"Authorization: Token <Token>"을 httpie명령어에 추가해 사용한다.

• Request에 Token을 추가해 보낼 경우

• Request에 Token이 없을 경우