📒 [ TIL ] 2022.06.27_48일차 # DRF를 이용한 JWT 사용하기

[ 2022-06-27 (월) 오늘의 TIL ]

[ Today Learn ]

• 인증의 종류
• JWT 옵션 설정하기
• Refresh Token

✏️ 내가 배운것, 얻은 것

* 세션 인증

기본적으로 브라우저에서 사용자가 인증(Authentication)을 수행하면 서버에서는 사용자의 정보를 저장하고, 그 응답으로 JSESSIONID 라는 키를 이용해 클라이언트(사용자) 브라우저의 쿠키에 세션의 정보를 저장하게 된다. 이후 클라이언트는 브라우저 쿠키에 저장된 JSESSIONID 로 저장된 세션 정보를 이용해
인가(Authrization)된 정보에 접근할 수 있다.

* 토큰 인증 방식

토큰인증 방식은 사용자가 인증을 수행하면 서버에서는 토큰을 생성한 뒤에 저장하지않고 토큰값을 사용자의 브라우저에 응답하고 토큰 값을 사용자가 인가된 사용자만 사용할 수 있는 서비스를 요청할 때 함께 보내게 되고, 서버에서 이 토큰을 의미 있는 값(보통은 사용자 정보)으로 해석하게 된다. 그리고 이 값으로 사용자를 인증하게 된다.

🧩 적용 예시

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

1. HEADER

JWT를 검증하는데 필요한 정보를 가진 데이터

🧩 적용 예시

HEADER 정보
{
  "typ": "JWT",    # 토큰 타입
  "alg": "HS256"   # 알고리즘
}

2. PAYLOAD

실질적으로 인증에 필요한 데이터를 저장하고 각각의 필드를 클레임(claim)이라고 하고 대부분의 경우 클레임에 username 또는 user_id를 포함하고, 인증시에 payload에 있는 username을 가져와서 사용자의 정보를 인증할때 사용한다.

또한 payload에서 중요하게 살펴보아야 할 정보는 토큰 발행시간(iat)와 토큰만료시간(exp)이고, 토큰의 만료시간이 지나면 새로운 토큰을 발급받아야 한다.

🧩 적용 예시

PAYLOAD 정보
{
  "token_type": "access", # 토큰의 종류. 여기서는 access 토큰입니다.
  "exp": 1656293275, # 토큰의 만료시간입니다. (Numeric Date)
  "iat": 1656293095, # 토큰의 발행시간입니다. (Numeric Date)
  "jti": "2b45ec59cb1e4da591f9f647cbb9f6a3", # json token id 입니다.
  "user_id": 1 # 실제 사용자의 id값이 들어있습니다.
}

3. VERIFY SIGNATURE

토큰 자체의 진위여부를 판단하는 용도로 사용한다. verify signature 는 Base64UrlEncoding된 header와 payload의 정보를 합친 뒤 SECRET_KEY를 이용해 Hash를 생성해 암호화한다.

🧩 적용 예시

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
	SECRET_KEY
)

* DRF에서 JWT 사용하기

drf에서 jwt를 사용하기 위해 가장 먼저 simplejwt를 설치해준다.

pip install djangorestframework-simplejwt

1. settings.py

INSTALLED_APPS = [
    ...
    'rest_framework_simplejwt',
    ...
]

'DEFAULT_AUTHENTICATION_CLASSES': [
		...
		# JWT 인증 방식 추가하기
		'rest_framework_simplejwt.authentication.JWTAuthentication',
],

2. user/urls.py

from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)

urlpatterns = [
    ...
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
    ...
]

* JWT 옵션 설정하기

settings.py

from datetime import timedelta
...

SIMPLE_JWT = {
		# Access 토큰 유효 시간 설정하기
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
		# Refresh 토큰 유효 시간 설정하기
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),

    'ROTATE_REFRESH_TOKENS': False,
    'BLACKLIST_AFTER_ROTATION': False,
    'UPDATE_LAST_LOGIN': False,

    'ALGORITHM': 'HS256',
    'SIGNING_KEY': SECRET_KEY,
    'VERIFYING_KEY': None,
    'AUDIENCE': None,
    'ISSUER': None,
    'JWK_URL': None,
    'LEEWAY': 0,

    'AUTH_HEADER_TYPES': ('Bearer',),
    'AUTH_HEADER_NAME': 'HTTP_AUTHORIZATION',
    'USER_ID_FIELD': 'id',
    'USER_ID_CLAIM': 'user_id',
    'USER_AUTHENTICATION_RULE': 'rest_framework_simplejwt.authentication.default_user_authentication_rule',

    'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),
    'TOKEN_TYPE_CLAIM': 'token_type',
    'TOKEN_USER_CLASS': 'rest_framework_simplejwt.models.TokenUser',

    'JTI_CLAIM': 'jti',

    'SLIDING_TOKEN_REFRESH_EXP_CLAIM': 'refresh_exp',
    'SLIDING_TOKEN_LIFETIME': timedelta(minutes=5),
    'SLIDING_TOKEN_REFRESH_LIFETIME': timedelta(days=1),
}

🌱 느낀 점

내일 프로젝트를 앞두고 오늘 배웠던 내용을 활용해서 토큰을 이용한 로그인기능을 구현할 수 있다는 생각에 설렌다. 토큰에 담긴 사용자정보를 커스터마이징할 수도 있다는 것을 알았고, serializer를 활용해 내가 포함하고 싶은 정보를 추가해서 커스텀해 이용할 수 있다는게 신기했다.