## 7. Vue with DRF

- 교재 참고

#### 1.  프로젝트 개요

- 08-01-vue-with-drf의 실습을 기준으로 살펴보기

1. Django Rest Framework 프로젝트 안내

    - 스켈레톤 프로젝트 **django-pjt** 제공
    - 외부 패키지 및 라이브러리는 requirements.txt에 작성되어 있음
    - DRF 프로젝트는 주석을 해제하며 진행


2. Vue 프로젝트 안내

    - 스켈레톤 프로젝트 **vue-pjt** 제공
    - Vite를 사용해 Pinia 및 Vue Router가 추가 되어있음
    - pinia-plugin-persistedstate가 설치 및 등록 되어있음
    - Vue 프로젝트는 직접 코드를 작성하며 진행

    ![이미지](../이미지/컴포넌트구조.PNG)

    - bootstrap 및 bootstrap-icons 설치

        1. bash
            - npm install bootstrap
            - npm i bootstrap-icons

        2. main.js

            - import 'bootstrap'
            - import 'bootstrap/dist/css/bootstrap.min.css'

            - import 'bootstrap-icons/font/bootstrap-icons.css'

    - django-seed 활용

        1. settings.py에 앱 등록

            - django_seed

        2. 명령어

            - python manage.py seed 앱이름 --number 20


3. 최종 프로젝트 안내

    ![이미지](../이미지/프론트백엔드.PNG)

    - front-end 프레임워크(Vue)와 back-end 프레임워크(Django) 간의 요청과 응답

    - 그 과정에서 등장하는 새로운 개념과 문제를 해결하면서 하나의 웹 애플리케이션 서비스를 구현하는 과정에 집중

#### 2. 메인 페이지 구현


1. state 참조 및 출력

    - ArticleView 컴포넌트에 ArticleList 컴포넌트와 ArticleListItem 컴포넌트 등록 및 출력하기

    - ArticleList와 ArticleListItem은 각각 게시글 출력을 담당

2. state with DRF

    - 이제는 임시 데이터가 아닌 DRF 서버에 직접 요청하여 데이터를 응답받아 store에 저장 후 출력하기

    - 코드를 따라하다보면 애러 발생

        - DRF 서버 측에서는 문제 없이 응답했음(200 OK)
        
        - 서버는 응답했으나 브라우저 측에서 거절한 것

        - 브라우저가 거절한 이유

            ![이미지](../이미지/브라우저거절이유.PNG)

#### 3. CORS Policy

1. SOP(same-origin policy) : 동일 출처 정책

    - 어떤 출처(Origin)에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호 작용하는 것을 **제한하는 보안 방식**

        - 웹 애플리케이션의 도메인이 다른 도메인의 리소스에 접근하는 것을 제어하여 **사용자의 개인 정보와 데이터의 보안을 보호하고, 잠재적인 보안 위협을 방지**

        - **잠재적으로 해로울 수 있는 문서를 분리**함으로써 공격받을 수 있는 경로를 줄임

2. Origin

    ![이미지](../이미지/origin.PNG)

    - 세 영역이 일치하는 경우에 동일 출처라고 본다.

    ![이미지](../이미지/origin1.PNG)


3. CORS policy의 등장

    - 기본적으로 **웹 브라우저는 같은 출처에서만 요청하는 것을 허용하며, 다른 출처로의 요청은 보안상의 이유로 차단됨**

        - SOP에 의해 다른 출처의 리소스와 상호작용하는 것이 기본적으로 제한되기 때문

    - 하지만 현대 웹 애플리케이션은 다양한 출처로부터 리소스를 요청하는 경우가 많기 때문에 CORS 정책이 필요하게 되었음

    - **CORS는 웹 서버가 리소스에 대한 서로 다른 출처 간 접근을 허용하도록 선택할 수 있는 기능을 제공**

4. CORS

    - 교차 출처 리소스 공유(Cross-Origin Resource Sharing)

    - 특정 출처(Origin)에서 실행 중인 웹 애플리케이션이 **다른 출처의 자원에 접근할 수 있는 권한을 부여**하도록 브라우저에 알려주는 체계

        - 만약 다른 출처의 리소스를 가져오기 위해서는 이를 제공하는 서버가 브라우저에게 다른 출처지만 접근해도 된다는 사실을 알려야 함

5. CORS policy(교차 출처 리소스 공유 정책)

    - 다른 출처에서 온 리소스를 공유하는 것에 대한 정책

    - **서버에서 설정**되며, 브라우저가 해당 정책을 확인하여 요청이 허용되는지 여부를 결정

    - 다른 출처의 리소스를 불러오려면 그 출처에서 올바른 **CORS headers를 포함한 응답을 반환**해야함


    - **서버측(DRF)에서 설정하는데 클라이언트의 정보가 들어가 있어야 한다.**

    ![이미지](../이미지/cors1.PNG)

6. CORS Headers 설정

    - Django에서는 django-cors-headers 라이브러리를 활용
    
    - 손쉽게 응답 객체에 CORS header를 추가해주는 라이브러리

    - CORS_ALLOWED_ORIGINS = [ ]

        - 여기서 온 URL은 믿어도 된다.
        - 나머지 URL은 신뢰하지 않아서 열어보지 않겠다.

#### 4. Article CR 구현


1. 전체 게시글 조회(read)


2. 단일 게시글 조회(read)


3. 게시글 작성(create)

#### 5. DRF Authentication(인증 시스템)

0. 사전 준비

1. 개요

    - 인증(Authentication)

        - 수신된 요청을 해당 요청의 사용자 또는 자격 증명과 연결하는 메커니즘(누구인지를 확인하는 과정)

    - 권한(Permissions)

        - 요청에 대한 접근 허용 또는 거부 여부를 결정

    - 인증 -> 권한
    
        - 인증이 먼저 진행되며 수신 요청을 해당 요청의 사용자 또는 해당 요청이 서명된 토큰(token)과 같은 일련의 자격 증명과 연결

        - 그런 다음 권한 및 제한 정책은 인증이 완료된 해당 자격 증명을 사용하여 요청을 허용해야 하는 지를 결정

    - **DRF 에서의 인증**

        - **인증은 항상 view 함수 시작 시**, 권한 및 제한 확인이 발생하기 전, 다른 코드의 진행이 허용되기 전에 실행됨

    - 승인되지 않은 응답 및 금지된 응답

        - 401 : Unauthorized(자격인증 X)

            - 요청된 리소스에 대한 유효한 인증 자격 증명이 없기 때문에 클라이언트 요청이 완료되지 않았음을 나타냄

        - 403 : Forbidden(허용 X)

            - 서버에 요청이 전달되었지만 **권한 때문에 거절되었다는 것을 의미**
            - 서버가 클라이언트가 누구인지 알고있지만(인증은 잘됐지만 권한이 없다.)

2. 인증 체계 설정(전역설정, view 함수 별 설정)


    1. 전역 설정(DEFAULT_AUTHENTICATION_CLASSES)

        ![이미지](../이미지/전역설정.PNG)


    2. View 함수 별 설정(authentication_classes 데코레이터를 사용)

        ![이미지](../이미지/view별%20설정.PNG)


3. TokenAuthentication 설정

    - 간단한 token 기반 HTTP 인증 체계

    - 서버가 사용자에게 토큰을 발급하여 사용자는 매 요청마다 발급받은 토큰을 요청과 함께 보내 인증 과정을 거침

    1. 인증 클래스 설정

        - 기본적으로 모든 view 함수가 **토근 기반 인증**이 진행되도록 설정(by 전역 설정)

        ![이미지](../이미지/tokenauthentication.PNG)

    2. INSTALLED_APPS 추가

        ![이미지](../이미지/tokenauthentication1.PNG)

    3. Migrate 진행

    4. 토큰 생성 코드 작성
        
        - 모든 사용자가 **자동으로 생성된 토큰을 가지도록 하는 역할**

        ![이미지](../이미지/signals.PNG)



4. Dj-Rest-Auth 라이브러리

    - 회원가입, 인증(소셜미디어 인증 포함), 비밀번호 재설정, 사용자 세부 정보 검색, 회원 정보 수정 등 **다양한 인증 관련 기능을 제공**하는 라이브러리

    - **accounts 관련 URL이나 view함수 추가 설정없이도 인증 관련 사용 가능**

    1. Dj-Rest-Auth 설치 및 적용

        - 패키지 설치 : pip install dj-rest-auth
        
        - 추가 앱 등록(settings.py) : 'dj_rest_auth'

        - 추가 URL : path('accounts/', include(dj_rest_auth.urls)),


    2. Registration(등록) 기능 추가 설정

        - 패키지 설치

        - 추가 APP 등록

        - 추가 URL 등록

        - Migrate

-------------------사전 준비 끝 구현시작----------------

5. Token 발급 및 활용

    1. Token 발급

        - 회원 가입 및 로그인을 진행하여 토큰 발급 테스트 하기

        - 장고 서버 run, 회원가입 후 로그인 진행

        - 로그인 성공 후 DRF로부터 발급 받은 Token 확인 

            - 이제 이 Token을 Vue에서 별도로 저장하여 매 요청마다 함께 보내야 인증 됨

        - key == token(인증 자격 증명)


    2. Token 활용

        - 게시글 작성과정을 통해 Token 사용 방법 익히기

        - Postman을 활용해 게시글 작성 요청

            - (POST) : body에 게시글 제목과 내용 입력

            - Headers에 발급받은 Token 작성 후 요청 성공 확인

                ![이미지](../이미지/token활용.PNG)

                - Token (공백) 토큰키

        - 발급 받은 Token을 인증이 필요한 요청마다 함께 보내야함


6. 권한 정책 설정


    1. 전역 설정

        ![이미지](../이미지/전역설정1.PNG)

    2. view 함수 별 설정

        ![이미지](../이미지/view별%20설정1.PNG)


7. IsAuthenticated 권한 설정

    - 인증되지 않은 사용자에 대한 권한을 거부하고 그렇지 않은 경우 권한을 허용

    - 등록된 사용자만 API에 액세스할 수 있도록 하려는 경우에 적합


    ![이미지](../이미지/권한설정.PNG)

    ![이미지](../이미지/권한설정1.PNG)

        - 전체 게시글 조회 및 생성시에만 인증된 사용자만 진행할 수 있도록 권한 설정

#### 6. Authentication with Vue

1. 회원가입 로직 구현


2. 로그인 로직 구현


3. 요청과 토큰

    - Token을 store에 저장하여 인증이 필요한 요청마다 함께 보낸다.

    - 토큰이 필요한 요청 :

        1. 게시글 전체 목록 조회

        2. 게시글 작성

4. 인증 여부 확인

    - 사용자의 인증(로그인) 여부에 따라 추가 기능 구현

    1. 인증되지 않은 사용자

        - 메인 페이지 접근 제한

    2. 인증된 사용자

        - 회원가입 및 로그인 페이지에 접근 제한


5. 기타 기능 구현

    1. 로그인 성공 후 자동으로 메인 페이지로 이동하기


    2. 회원가입 성공 후 자동으로 로그인까지 진행하기
    
