- 공유 링크 만들기
- X
- 이메일
- 기타 앱
Django Rest Framework로 JWT 로그인 API 완벽 구현 가이드
안녕하세요! 오늘은 Django Rest Framework(DRF)를 사용하여 JWT(JSON Web Token) 기반의 로그인 API를 구현하는 방법에 대해 자세히 알아보겠습니다.
왜 JWT를 사용할까요?
JWT는 최근 가장 인기있는 인증 방식 중 하나입니다. 그 이유는 다음과 같습니다:
- Stateless: 서버에 세션을 저장할 필요가 없어 서버 부하가 줄어듭니다.
- 확장성: 마이크로서비스 아키텍처에 적합합니다.
- 보안: 토큰이 서명되어 있어 위조가 어렵습니다.
- 크로스 도메인: CORS 정책에 더 유연하게 대응할 수 있습니다.
프로젝트 설정
먼저 필요한 패키지들을 설치하겠습니다:
pip install djangorestframework djangorestframework-simplejwt
settings.py에 다음과 같이 설정을 추가합니다:
INSTALLED_APPS = [
...
'rest_framework',
'rest_framework_simplejwt',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
# JWT 설정
from datetime import timedelta
SIMPLE_JWT = {
'ACCESS_TOKEN_LIFETIME': timedelta(minutes=60),
'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
'ROTATE_REFRESH_TOKENS': False,
'BLACKLIST_AFTER_ROTATION': True,
'UPDATE_LAST_LOGIN': False,
'ALGORITHM': 'HS256',
'SIGNING_KEY': SECRET_KEY,
'VERIFYING_KEY': None,
'AUDIENCE': None,
'ISSUER': None,
'AUTH_HEADER_TYPES': ('Bearer',),
'AUTH_HEADER_NAME': 'HTTP_AUTHORIZATION',
'USER_ID_FIELD': 'id',
'USER_ID_CLAIM': 'user_id',
'USER_AUTHENTICATION_RULE': 'rest_framework_simplejwt.authentication.default_user_authentication_rule',
'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),
'TOKEN_TYPE_CLAIM': 'token_type',
}
URL 설정
urls.py에 JWT 관련 엔드포인트를 추가합니다:
from rest_framework_simplejwt.views import (
TokenObtainPairView,
TokenRefreshView,
TokenVerifyView,
)
urlpatterns = [
...
path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
path('api/token/verify/', TokenVerifyView.as_view(), name='token_verify'),
]
커스텀 유저 모델 사용하기
보안을 위해 기본 User 모델 대신 커스텀 유저 모델을 사용하는 것을 추천드립니다:
from django.contrib.auth.models import AbstractUser
from django.db import models
class CustomUser(AbstractUser):
email = models.EmailField(unique=True)
phone_number = models.CharField(max_length=15, blank=True)
USERNAME_FIELD = 'email'
REQUIRED_FIELDS = ['username']
def __str__(self):
return self.email
커스텀 토큰 클레임 추가하기
토큰에 추가 정보를 포함시키고 싶다면, 커스텀 토큰 클래스를 만들 수 있습니다:
from rest_framework_simplejwt.tokens import Token
from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
@classmethod
def get_token(cls, user):
token = super().get_token(user)
# 커스텀 클레임 추가
token['name'] = user.username
token['email'] = user.email
return token
class CustomTokenObtainPairView(TokenObtainPairView):
serializer_class = CustomTokenObtainPairSerializer
보안을 위한 추가 설정
- HTTPS 사용: 프로덕션 환경에서는 반드시 HTTPS를 사용해야 합니다.
- 토큰 만료 시간: 적절한 만료 시간을 설정하여 보안을 강화합니다.
- Refresh Token Rotation: 토큰 재사용을 방지하기 위해 활성화합니다.
- 토큰 블랙리스트: 로그아웃 시 토큰을 무효화할 수 있습니다.
실제 사용 예시
클라이언트 측에서는 다음과 같이 토큰을 사용할 수 있습니다:
// 로그인
const response = await fetch('/api/token/', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
},
body: JSON.stringify({
email: 'user@example.com',
password: 'password123'
})
});
const { access, refresh } = await response.json();
// API 요청 시
const apiResponse = await fetch('/api/protected/', {
headers: {
'Authorization': `Bearer ${access}`
}
});
// 토큰 갱신
const refreshResponse = await fetch('/api/token/refresh/', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
},
body: JSON.stringify({
refresh: refresh
})
});
주의사항
- 토큰 저장: 클라이언트에서는 토큰을 안전하게 저장해야 합니다 (HttpOnly 쿠키 추천).
- CSRF 보호: 세션 기반 인증과 함께 사용할 때는 CSRF 보호를 고려해야 합니다.
- 토큰 크기: 토큰에 너무 많은 정보를 포함시키지 마세요.
- 토큰 탈취: XSS 공격에 주의해야 합니다.
결론
JWT는 현대적인 웹 애플리케이션에서 매우 유용한 인증 방식입니다. DRF와 simplejwt를 사용하면 쉽게 구현할 수 있으며, 커스터마이징도 자유롭게 할 수 있습니다. 하지만 보안을 위해 위에서 언급한 주의사항들을 반드시 고려해야 합니다.
이 글이 JWT 인증 구현에 도움이 되셨기를 바랍니다. 추가적인 질문이나 궁금한 점이 있으시면 댓글로 남겨주세요!
댓글
댓글 쓰기