## 사용자 인증 처리 (Authentication)

###### 지원하는 인증의 종류 (rest_framework/authentication.py)

+ SessionAuthentication (디폴트)
    + 세션을 통한 인증 여부 체크
    + APIView를 통해 디폴트 지정 (우선순위 1)
    
+ BasicAuthentication(디폴트)
    + Basic 인증헤더를 통한 인증 수행 (ex: Authorization: Basic YWxsaWV1czE6MTAyOXNoYWtl)
    + APIView를 통해 디폴트 지정 (우선순위 2)
    
+ TokenAuthentication ==> 일반적으로 API에서 주로 사용
    + Token 헤더를 통한 인증 수행 (ex: Authorization: Token 401f7ac837da42b97f613d789819ff93537bee6a)
    
        장고에서는 relation을 연결하는 토큰 모델이 있음. 유저마다 하나의 키를 발급해 줌. 특정 유저마다 유일하고 이 키를 활용해 식별함..
    
+ RemoteUserAuthentication
    + User 정보가 다른 서비스에서 관리될 때, Remote 인증 (장고 공식문서)
    + Remote-User 헤더를 통한 인증 수행

###### 인증 처리 순서

1. 매 요청 시마다 APIView의 dispatch(request) 호출
2. APIView의 initial(request) 호출
3. APIView의 perform_authentication(request) 호출
4. Request의 user Property 호출
5. Request의 _authenticate() 호출
    + APIView를 통해 지정된 Authentication 호출

#### 포스팅 저장시, 현재 인증된 유저 정보를 기록


author필드를 API를 통해 지정되지 않도록 PostSerializer의 Meta.fields에서 author필드를 제외

///// myapp/serializers.py

    class PostSerializer(...):
        class Meta:
            model = ...
            fields = ['pk', 'title', 'content']
        
        
이제 API를 통해 Post 저장 시에 현재 인증된 유저를 지정

///// myapp/views.py

    class PostViewSet(viewsets.ModelViewSet):
        queryset = Post.objects.all()
        serializer_class = PostSerializer

        def perform_create(self, serializer):  # 추가
            serializer.save(author=self.request.user)  # 추가

## 웹브라우저를 통한 API 접근에서 로그인/로그아웃 지원하기

django-rest-framework는 웹브라우저를 통한 API 접근도 지원해주기에, 웹브라우저를 통한 로그인/로그아웃도 지원해주고 있습니다. 이는 auth앱의 login/logout뷰를 그대로 활용하고 있으며, 템플릿만 rest_framework/login.html로 변경해서 적용되어있습니다.

웹브라우저로 http://localhost:8000에 접속해보시면, 화면 우상단에 'Login'버튼이 없습니다. 프로젝트/urls.py에 다음과 같이 URLConf 설정을 변경해주세요.


    from django.conf.urls import include  # 추가가 안 되어있다면, 추가

    # 중략

    urlpatterns += [
        url(r'^api-auth/', include('rest_framework.urls', namespace='rest_framework')),
    ]


이제 Login버튼이 보여집니다. 클릭해서 로그인을 수행해보세요. 



## 권한 (Permission) 시스템 - 비인증 요청에 한해서 읽기 권한만 부여하기

django-rest-framework에서는 Permission 시스템을 제공해주고 있습니다.

권한 체크는 다음 기본 룰을 가집니다.

+ is_superuser=True 유저는 별도 Permission을 지정하지 않아도 모든 권한이 허용
+ is_staff=True 유저는 /admin/ 접속만 가능할 뿐, 일반 유저와 동일하게 허용된 권한만 가능
+ is_active=False 유저는 권한 지정여부에 상관없이, 모든 권한 불허


django-rest-framework에서 기본 제공하는 Permission는 다음과 같습니다.

1. AllowAny : 인증여부에 상관없이, 뷰 호출 허용 (디폴트 지정)
2. IsAuthenticated : 인증된 요청에 한해서, 뷰 호출 허용 ==> 주로 사용
3. IsAdminUser : Staff 인증 요청에 한해서, 뷰 호출 허용
4. IsAuthenticatedOrReadOnly : 비인증 요청에게는, 읽기 권한만 허용
5. DjangoModelPermissions : 인증된 요청에 한해서만 뷰 호출을 허용하고, 추가로 유저별 인증 권한체크를 수행
6. DjangoModelPermissionsOrAnonReadOnly : DjangoModelPermissions과 유사하나, 비인증 요청에 대해서는 읽기 권한만 허용
7. DjangoObjectPermissions
    + 비인증된 요청은 거부
    + 인증된 요청에 한, Record 접근에 대한 권한체크를 추가로 수행
    
    

#### IsAuthenticated 지정
APIView 클래스에서는 permission_classes 속성을 통해 API별로 권한 체크를 다르게 가져갈 수 있습니다. ViewSet은 APIView를 상속받았으므로 동일하게 지정가능합니다. 다음과 같이 IsAuthenticated를 지정해보세요.

    from rest_framework.permissions import AllowAny, IsAuthenticated

    class PostViewSet(viewsets.ModelViewSet):
        permission_classes = [
            # AllowAny, # 디폴트
            IsAuthenticated,
        ]
        # 생략
