TIL_220630_rest_framework_simplejwt

restframework-simplejwt

인증의 종류

1. 세션 인증 방식

브라우저에서 사용자가 인증(Authentication)을 수행하면 서버에서 사용자의 정보를 저장.
응답으로 세션(JSESSIONID) 키를 이용해 클라이언트 브라우저의 쿠키에 세션(JSESSIONID)의 정보를 저장하게 됨.
클라이언트는 브라우저 쿠키에 저장된 세션으로 저장된 세션정보를 이용해 인가(Authrization)된 정보에 접근 허용.

 

2. 토큰 인증 방식

토큰 인증 방식은 사용자가 인증을 수행하면 서버에서는 토큰을 생성한 뒤에 저장하지 않고(stateless) 토큰값을 사용자의 브라우저에게 응답함.
토큰값을 사용자가 인가된 사용자만 사용할 수 있는 서비스를 요청할 때 함께 보내게 되고, 서버에서 이 토큰을 의미 있는 값으로 해석 및 인증하게 됨.
토큰은 username, user_id 등 사용자를 설명할 수 있는 데이터를 포함하게 됨.
참고 : 사용자를 설명할 수 있는 데이터를 클레임(claim) 이라고 함.

 

3. JWT(Json Web Token)

토큰 인증 방식의 대표주자.
JWT 토큰 구조는 {HEADER}.{PAYLOAD}.{VERIFY_SIGNATURE} 로 이루어져 있음.
JWT 예시 : {eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9}.{eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ}.{SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c}
- 위와 같이 각 데이터는 온점으로 구분.

 

4. HEADER

HEADER 는 JWT 를 검증하는데 필요한 정보를 가진 데이터
VERIFY_SIGNATURE 에 사용한 암호화 알고리즘과 토큰 타입, key 의 id 등의 정보를 가지고 있음.
암호화된 값은 아님.
HEADER 정보
{
    "typ": "JWT",    # 토큰 타입
    "alg": "HS256"   # 알고리즘
}

 

5. PAYLOAD

실질적으로 인증에 필요한 데이터를 저장.
데이터 각각의 필드를 클레임(claim)이라고 한다.
대부분의 경우 클레임에 username 또는 user_id 를 포함.
인증시에 payload 에 있는 username 을 가져와서 사용자의 정보를 인증할 때 사용해야 하기 때문.
또한 payload 에서 중요하게 살펴보아야 할 정보는 토큰 발행시간(iat)과 토큰 만료시간(exp).
토큰의 만료 시간이 지나면 새로운 토큰을 발급 받아야 함. (보안 중요)
PAYLOAD 정보
{
    "token_type": "access", # 토큰의 종류. 여기서는 access 토큰입니다.
    "exp": 1656293275, # 토큰의 만료시간입니다. (Numeric Date)
    "iat": 1656293095, # 토큰의 발행시간입니다. (Numeric Date)
    "jti": "2b45ec59cb1e4da591f9f647cbb9f6a3", # json token id 입니다.
    "user_id": 1 # 실제 사용자의 id값이 들어있습니다.
}

 

6. VERIFY SIGNATURE

header 와 payload 는 암호화 되지 않고 단순히 Json → UTF-8 → Base64 형식으로 변환된 데이터.
즉 header 와 payload 의 생성 자체는 너무 쉽고 누구나 만들 수 있는 데이터.
따라서 저 두개의 데이터만 있다면 토큰에 대한 진위여부 판단은 이루어질 수 없게 됨.
그래서 JWT 의 구조에서 가장 마지막에 있는 VERIFY SIGNATURE 는 토큰 자체의 진위여부를 판단하는 용도로 사용함.
VERIFY SIGNATURE 는 Base64UrlEncoding 된 header  와 payload 의 정보를 합친 뒤 SECRET_KET 를 이용하여 Hash 를 생성하여 암호화 함.
HMACSHA256 (
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    SECRET_KEY
)

 

 

---

 

restframework-simplejwt 사용법

프로젝트 settings.py

1. 'rest_framework_simplejwt.authentication.JWTAuuthentication' 추가
2. 
   REST_FRAMEWORK = {
       'DEFAULT_AUTHENTICATION_CLASSES': [ # session 혹은 token을 인증 할 클래스 설정
             'rest_framework_simplejwt.authentication.JWTAuthentication',
       ],
   }

 

user 앱 urls.py

1. from / import 추가
   • from rest_framework_simplejwt.views import (
         TokenObtainPairView,
         TokenRefreshView,
     )
2. urlpatterns 추가
   • urlpatterns = [
         path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
         path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
     ]

 

프로젝트 settings.py

1. INSTALLED_APPS 에 'rest_framework_simplejwt' 추가
   • INSTALLED_APPS = [
         'rest_framework_simplejwt',
     ]

 

postman 으로 테스트

1. user/api/token/ 으로 username 과 password 를 담아서 보내주세요.
2. access 토큰과 refresh 토큰 확인

postman 테스트