🔐 JWT

JSON Web Token의 구조는 HEADER, PAYLOAD, SIGNATURE로 구성되어있다.

위와같이 https://jwt.io 에서 발행된 JWT의 payload를 꺼내어볼 수 있긴하지만
signature의 key값을 모른다면 임의로 토큰을 발행하여 서버단에서 해당유저에 대한 권한을 부여받을 수 없기 때문에 보안이 가능한 구조이다.

payload에 고유식별정보를 담을 경우,
user_id or 특정 pk값에 대해 front로부터 단방향 해시 알고리즘을 적용(키 스트레칭)하여 넘겨받는다.

• https://d2.naver.com/helloworld/318732 참조

🔒 토큰발행

from django.http import JsonResponse
from .models import User
import os
import jwt
import datetime

def jwt_publish(login_id):
    jwt_key = os.environ.get('JWT_KEY')
    jwt_expiration = datetime.datetime.utcnow() + datetime.timedelta(seconds=60*60*6)
    access_jwt = jwt.encode({'exp': jwt_expiration, 'login id': login_id}, key=jwt_key['SECRET KEY'], algorithm=jwt_key['ALGORITHM'])
    return access_jwt

def jwt_authorization(func):
    def wrapper(self, request, *args, **kwargs):
        jwt_key = os.environ.get('JWT_KEY')
        try:
            try:
                access_jwt = request.COOKIES.get('_utk')
            except:
                return JsonResponse({'message': 'GET JWT COOKIE ERROR'}, status=400)
            # decode
            payload = jwt.decode(access_jwt, key=jwt_key['SECRET KEY'], algorithms=jwt_key['ALGORITHM'])
            login_id = payload['login id']
            try:
                login_user = User.objects.get(login_id=login_id)
            except:
                return JsonResponse({'message': 'GET USER ERROR'}, status=400)
            
            request.user = login_user
            return func(self, request, *args, **kwargs)
        except jwt.ExpiredSignatureError:
            return JsonResponse({'message': 'JWTOKEN EXPIRED'}, status=401)
        except jwt.InvalidTokenError:
            return JsonResponse({'message': 'INVALID JWTOKEN'}, status=401)
    return wrapper

jwt_publish 함수에서는 jwt를 발행하기 위해 secret key값인 jwt_key를 환경변수에서 받아오고 만료시간(jwt_expiration)을 지정해준다.
payload부분에는, dict형식의 객체로 지정해준 만료시간을 default key값인 exp를 통해 key-value로 할당시켜주고
전달하고자 하는 고유식별값에 대해(로그인/회원가입시encrypted된 데이터를)서도 마찬가지로 key-value('login_id': login_id)로 넣어준다.

jwt_authorization 데코레이터 함수에서는 발행된 jwt에 대해, 특정 권한이 필요한 API가 요청되면 데코레이터에 의해 권한이 존재하는지 여부를 판별한다.
쿠키에 jwt를 저장하는 방식을 채택했기 때문에 요청되는 API에서 쿠키를 읽은다음 jwt_key값을 통해 decode해준다.
그다음 요청한 유저에 대해 고유식별값을 확인/사용하기 위해 request.user로 고유식별값을 할당시켜준다.

아래는 JWT데코레이터를 적용한 예시코드이다.

class item:
    '''
    '''
    @jwt_authorization
    def get(self, request, *args, **kwargs):
        order_pk = order.object.filter(user_pk=request.user)._pk
        '''
        '''
        return JsonResponse({'message': 'GET ORDER LIST SUCCESS', 'data': orders}, status=200)

예시코드와 같이 특정 유저가 주문한 물품들에 대한 리스트를 받아올때,
@jwt_authorization에 의해 내부 payload값이 꺼내지게 되고
요청된 특정 유저와 연결된 DB에 접근할 수 있다.

📙 SESSION과 COOKIE

	쿠키	세션
저장 위치	클라이언트	서버
저장 형식	텍스트	오브젝트
만료시점	쿠키 저장시 설정*	브라우저 종료시 삭제*
리소스	클라이언트 리소스	서버 리소스
용량	총 300개, 하나의 도메인 당 20개, 하나의 쿠키 당 4kb(4096byte)	서버용량만큼 가능
속도	세션보다 비교적 빠름	쿠키보다 비교적 느림
보안	세션보다 비교적 안좋음	쿠키보다 비교적 좋음

유저가 로그인을 통해 특정권한 및 본인인증 정보를 가지고 웹서비스를 이용할 때,
쿠키의 속성들을 통해 보안을 강화한다면 세션에 비해 가져갈 수 있는 이점들이 많다.

그 예로, 쇼핑몰의 경우 장기간 로그인하는 경우보다 여러 브라우저에서 접속하여 상품을 보거나 구매내역 및 결제기능에 대하여 권한인증에 대해 처리하는 경우가 주를 이루다보니 쿠키 사용에서 그 이점이 있는 것 같다.

1. expire
   쿠키 만료기한을 설정하여 특정 유저에 의한 권한인증기한을 부여하는 것이다.
   JWT를 사용할때 로그아웃할 경우 쿠키 만료기한과 상관없이 blacklist로 관리하여 이미 로그아웃 처리된 토큰값에 대해 권한이 없는 상태로 만들 수 있다.

2. domain
   하나의 도메인안에서 여러 서버를(for example: Apple.com, api.Apple.com, admin.Apple.com)두는 경우 쿠키를 공유할 수 있도록 설정한다.

3. secure
   https외의 환경에서 쿠키값을 전달하지 않는다

4. httponly
   httponly = False일 때는 Javascript에서 쿠키값에 대한 접근이 가능하지만
   httponly = True일 때는 XSS(Cross-Site Scripting)로 인해 취약한 부분이 생길지라도 쿠키값의 탈취는 막을 수 있다.
   (XSS란 웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법이다, XSS와 CSRF공격의 차이점도 곧...)

5. samesite
   프론트와 백엔드가 각각의 서버를 운영할때, 각각의 domain에 대해서 제한사항을 설정하는 속성이다.
   samesite에 대해서 일반적으로 명시된바 없이 default값은 None값이었지만,
   20년 2월 4일 배포된 크롬80에서는 samesite의 default값이 lax로 변경되었다.

• if samesite = None:
  이전에는 서로 다른 도메인인 Apple.com -> Banana.com 쿠키가 사용될 수 있었으나 크롬80에서는 불가능하게 되었다.
• if samesite = lax:
  다른 도메인이어도 제한적인 http method에 대해서 예) 서버의 재원(혹은 상태)에 대해 영향을 끼치지 않는 get요청에 대해서는 쿠키이동이 가능하다.
• if samsite = strict:
  resource를 제공하는 도메인과 사용하는 도메인사이에 도메인이 일치하여야 쿠키가 이동한다.

*{domain}값은 등록한 도메인명

# Django https & domain 환경에서 쿠키 설정

from .base import *
import os

DEBUG = False

SESSION_COOKIE_SECURE = True
SESSION_COOKIE_DOMAIN = '{domain}.com'
SESSION_COOKIE_SAMESITE = 'lax'

CSRF_COOKIE_SECURE = True
CSRF_COOKIE_DOMAIN = '{domain}.com'
CSRF_COOKIE_SAMESITE = 'lax'
CSRF_TRUSTED_ORIGINS = ['api.{domain}.com', 'https://api.{domain}.com']

DATABASES = os.environ.get('DATABASES')

ALLOWED_HOSTS += [
    '{domain}.com',
    'api.{domain}.com'
]

CORS_ALLOWED_ORIGINS += [
    'https://{domain}.com',
    'https://admin.{domain}.com',
]

CORS_ALLOW_HEADERS += [
    # etc
]

# JsonResponse로 쿠키 발급하기

from django.http import JsonResponse

'''
'''

class CustomerView(View):
    
    
    @csrf_exempt
    @require_http_methods(['POST'])
    def signup(request):
    	access_jwt = jwt_publish(user_id)
    	'''
    	'''
	response = JsonResponse({'message': '{domain} signup success', json_dumps_params={'ensure_ascii':False}, status=201)
        response.set_cookie(
            key='_utk', # 키값 지정
            value=access_jwt,
            expires=datetime.timedelta(hours=6), # 쿠키 만료기한 설정
            path="/",
            domain='{domain}.com',
            secure=True, 
            httponly=True,
            samesite="lax",
        )
        
        return response

etc

이외의 방법으로는 simple-jwt패키지를 이용하면 header를 통해 토큰인증 처리 및 토큰 블랙리스트 관리를 할 수 있다.