🏃🏼인증&인가 이해하기 2

비밀번호를 암호화(해쉬함수) 및 로그인 시 암호화를 비교하여 일치하는지 확인하는 것을 실제 코드로 실습해보자!!

1. 인증(회원가입)

큰 흐름 : 비밀번호 받아서 > 인코딩 > 해쉬함수 > 디코딩

1) 비밀번호가 들어오면(회원가입 시 프론트에서 바디에 담아서 보냄)

password = '1234'
 #type은 'string'이다

2) 서버에서는 비밀번호를 확인한 후, 인코딩을 한다.

encoded_password = password.encode('utf-8')
 # 인코딩을 하면 type은 'bytes'가 된다

3) 인코딩을 하는 이유는?
해쉬함수로 감싸서 암호화를 시킬 건데 해쉬함수는 인자를 바이트를 받기 때문이다. 해쉬함수로 감싸보자

hashed_password = bcrypt.hashpw(encoded=password, bcrypt.gensalt())
 # type은 'bytes'이다.

4) 다시 디코딩하기! 이유는?
해쉬함수로 감싸면 비밀번호가 b'$2$4daewdsfs' 이런식으로 바뀌는데,
앞에 있는 b도 하나의 str으로 인식한다.
암호화된 비밀번호는 따옴표 안에 있는 문자만이기 때문에 b가 같이 DB에 저장되면 안됨!!

db_password = hashed_password.decode('utf-8')

2.인가(로그인)

1) 사용자가 입력한 비밀번호와 비교할 때는

print(bcrypt.checkpw('1234'.encode('utf-8'), 
 #사용자가 입력한 비밀번호를 인코딩해서 바이트 타입 상태로
db_password.encode('utf-8'))
 #디비에 저장된 해쉬된 비밀번호를 다시 인코딩해서 바이트 타입 상태로 비교

checkpw 함수 안에 인자는 타입값을 바이트로 받는다!!
그래서 1)사용자가 입력한 비밀번호 / 2)DB에 저장된 비밀번호 모두 바이트 타입으로 변환

a = '1234'
bcrypt.checkpw(c.encode('utf-8'), hashed_password) 
 # return True

b = '5678'
bcrypt.checkpw(d.encode('utf-8'), hashed_password) 
 # return False 

2) 로그인 했으면 프론트로 토큰을 넘겨줘야한다.
토큰을 넘길 때 중요한 데이터는 담으면 안되며, pk값과 같은 우리만 아는 내담아서 전달한다.

user = User.object.get(email='soo@aa.aa)
payload = {'user_id':user.id}
encoded_jwt = jwt.encode(payload, 'secret_key', algorithm='')

여기서 중요한 것 ! 시크릿 키와 알고리즘은 직접 기재하면 안된다.
다른 파일에 시크릿 키와 알고리즘을 따로 기재한 후에, import로 가져온다
아래와 같이 시크릿키, 알고리즘 해당 자리에 변수명을 입력해준다
알고리즘의 기본값은 256이다

예를 들어,

# conpig.py 파일에 아래와 같이 변수로 지정
SECRET_KEY = 'apple'
ALGORITHM = 'HS256'

# views.py 파일에서 임포트
from config import SECRET_KEY, ALGORITHM
encoded_jwt = jwt.encode(payload, SECRET_KEY, ALGORITHM)

print("*JWT:", encdoed_jwt.decode('utf-8'))

프론트는 토큰을 스트링으로 받기 때문에, 토큰을 그대로 넘겨주면 안되고, 다시 디코딩을 해서줘야한다.

장고 코드로 복습해보자

1. 회원가입

 password = bcrypt.hashpw(
   	data['password'].encode('utf-8'),
   	bcrypt.gensalt()
    	).decode('utf-8')

🔍 코드 한줄씩 다시보자

1) data['password'].encode('utf-8')
  # 사용자가 입력한 비밀번호를 인코딩 하기 > 해쉬함수로 감싸기 위해
  # type : bytes

2) bcrypt.hashpw(data['password'].encode('utf-8')
   ,bcrypt.gensalt()
  # 해쉬 함수로 감싸기
  # type : string

3) bcrypt.hashpw(data['password'].encode('utf-8')
   ,bcrypt.gensalt().decode('utf-8')
  # 다시 디코딩 하기 > 암호화 된 문자의 b를 빼주기 위해!
  # type : string

2. 로그인

login_user = User.objects.get(email=data['email'])

if bcrypt.checkpw(password.encode('utf-8'), login_user.password.encode('utf-8')):
   token = jwt.encode(
      {
        'user_id' : login_user.id,
       }, SECRET_KEY, algorithm = ALGORITHM).decode('utf-8')

    return JsonResponse({'Authorization': token}, status=200)

🔍 코드 한줄씩 다시보자

password = data.get('password', None)

login_user = User.objects.get(email=data['email'])
 # 유저가 입력한 이메일을 DB에서 일치하는 값을 찾아서 변수에 저장

password.encode('utf-8')
 # 유저가 입력한 비밀번호를 인코딩 > check함수는 인자를 바이트를 받기 때문에!

login_user.password.encode('utf-8')
 # DB저장되어 있는 암호화된 패스워드를 꺼내와서 인코딩 > check함수는 인자를 바이트를 받기 때문에!
 

bcrypt 추가 정리

• 단방향 해쉬 함수가 사용되는데, 단방향 해쉬 함수란, 원본 데이터를 변환하여 다이제스트를 생성한다(다이제스트 : 암호호된 메세지)
  - 단방향인 이유 : 원본 메세지를 암호화된 메세지와 비교하기는 쉽지만, 암호화된 메세지를 역으로 원본 메세지와 비교하기는 어렵기 때문이다.