2025년 9월 18일한국어

강력한 인증으로 Django REST Framework API를 보호하세요. 실용적인 코드 예제 및 모범 사례를 포함하여 토큰 인증과 JWT(JSON Web Token) 구현을 비교합니다.

Python DRF 인증: 견고한 API를 위한 토큰 vs. JWT 구현

API 보안은 가장 중요합니다. Python 및 Django REST Framework(DRF)로 API를 구축할 때 사용할 수 있는 몇 가지 인증 옵션이 있습니다. 이 문서에서는 두 가지 인기 있는 방법인 토큰 인증과 JWT(JSON Web Token) 인증을 자세히 살펴보고, 강점과 약점을 비교하고, 실제 구현 예제를 제공합니다.

API에서 인증 이해

인증은 API에 액세스하는 사용자 또는 애플리케이션의 ID를 확인하는 프로세스입니다. 잘 구현된 인증 시스템은 권한이 있는 엔터티만 보호된 리소스에 액세스할 수 있도록 합니다. RESTful API의 컨텍스트에서 인증은 일반적으로 각 요청과 함께 자격 증명(예: 사용자 이름 및 비밀번호)을 보내는 것을 포함합니다. 그러면 서버가 이러한 자격 증명을 확인하고 유효한 경우 액세스 권한을 부여합니다.

토큰 인증

토큰 인증은 간단하고 직접적인 메커니즘입니다. 사용자가 성공적으로 로그인하면 서버는 고유한 임의 토큰을 생성하여 데이터베이스에 저장하고 사용자에게 연결합니다. 그런 다음 클라이언트는 후속 요청의 'Authorization' 헤더에 이 토큰을 보냅니다. 서버는 데이터베이스에서 토큰을 검색하고 유효성을 확인한 후 그에 따라 액세스 권한을 부여합니다.

DRF로 구현

DRF는 토큰 인증에 대한 기본 제공 지원을 제공합니다. 구현 방법은 다음과 같습니다.

DRF를 설치하고 Django 프로젝트에 등록합니다:

먼저 Django REST Framework가 설치되어 있는지 확인하십시오:

            pip install djangorestframework

그런 다음 `settings.py`의 `INSTALLED_APPS`에 추가하십시오:

            INSTALLED_APPS = [
    ...
    'rest_framework',
]

토큰 인증 체계를 기본 인증 클래스로 추가합니다(선택 사항이지만 권장됨):

`settings.py` 파일에 다음을 추가합니다:

            REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ],
}

이렇게 하면 API 전체에 토큰 인증이 전역적으로 적용됩니다. `SessionAuthentication`은 브라우저 기반 상호 작용을 위해 포함되지만 순전히 API 기반 애플리케이션의 경우 제거할 수 있습니다.

각 사용자에 대한 토큰을 만듭니다:

신호 처리기를 추가하여 사용자 생성 시 자동으로 토큰을 만들 수 있습니다. 앱에서 `signals.py`라는 파일을 만듭니다(예: `users/signals.py`):

            from django.conf import settings
from django.db.models.signals import post_save
from django.dispatch import receiver
from rest_framework.authtoken.models import Token

@receiver(post_save, sender=settings.AUTH_USER_MODEL)
def create_auth_token(sender, instance=None, created=False, **kwargs):
    if created:
        Token.objects.create(user=instance)

그런 다음 앱 구성 클래스의 `ready` 메서드 내에서 `users/apps.py` 파일에서 이 `signals.py` 파일을 가져옵니다. `users/apps.py`의 예:

            from django.apps import AppConfig

class UsersConfig(AppConfig):
    default_auto_field = 'django.db.BigAutoField'
    name = 'users'

    def ready(self):
        import users.signals

이제 명령줄을 사용하여 토큰을 관리할 수 있습니다:

            python manage.py drf_create_token <username>

API 뷰를 구현합니다:

토큰 인증이 필요한 뷰의 간단한 예는 다음과 같습니다.

            from rest_framework import permissions
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    authentication_classes = [TokenAuthentication]
    permission_classes = [permissions.IsAuthenticated]

    def get(self, request):
        content = {
            'message': 'Hello, ' + request.user.username + '! You are authenticated.',
        }
        return Response(content)

이 예에서 `authentication_classes`는 토큰 인증을 사용해야 함을 지정하고 `permission_classes`는 인증된 사용자만 뷰에 액세스할 수 있음을 지정합니다.

로그인 API 뷰 포함:

성공적인 로그인 시 토큰을 생성하는 엔드포인트도 필요합니다.

            from django.contrib.auth import authenticate
from rest_framework import status
from rest_framework.authtoken.models import Token
from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import AllowAny
from rest_framework.response import Response

@api_view(['POST'])
@permission_classes([AllowAny])
def login(request):
    username = request.data.get('username')
    password = request.data.get('password')
    user = authenticate(username=username, password=password)
    if user:
        token, _ = Token.objects.get_or_create(user=user)
        return Response({'token': token.key})
    else:
        return Response({'error': 'Invalid Credentials'}, status=status.HTTP_401_UNAUTHORIZED)

토큰 인증의 장점

단순성: 구현하고 이해하기 쉽습니다.
상태 비저장: 각 토큰 요청에는 독립적으로 사용할 수 있는 정보가 포함되어 있습니다.

토큰 인증의 단점

데이터베이스 종속성: 토큰 유효성을 검사하기 위해 각 요청에 대한 데이터베이스 조회가 필요합니다. 이는 특히 규모에 따라 성능에 영향을 줄 수 있습니다.
토큰 해지: 토큰을 해지하려면 데이터베이스에서 토큰을 삭제해야 하며 이는 복잡할 수 있습니다.
확장성: 데이터베이스 오버헤드로 인해 대규모 트래픽이 많은 API에 가장 적합한 솔루션이 아닐 수 있습니다.

JWT(JSON Web Token) 인증

JWT 인증은 더욱 현대적이고 정교한 접근 방식입니다. JWT는 사용자에 대한 클레임이 포함된 작고 URL 안전한 JSON 객체입니다. 이러한 클레임은 비밀 키 또는 공개/개인 키 쌍을 사용하여 디지털 서명됩니다. 사용자가 로그인하면 서버는 JWT를 생성하여 클라이언트에 보냅니다. 그런 다음 클라이언트는 후속 요청의 'Authorization' 헤더에 이 JWT를 포함합니다. 서버는 데이터베이스에 액세스할 필요 없이 JWT의 서명을 확인할 수 있으므로 보다 효율적이고 확장 가능한 솔루션입니다.

DRF로 구현

DRF는 JWT 인증에 대한 기본 제공 지원을 제공하지 않지만 몇 가지 훌륭한 라이브러리를 사용하면 쉽게 통합할 수 있습니다. 가장 인기 있는 것 중 하나는 `djangorestframework-simplejwt`입니다.

`djangorestframework-simplejwt` 설치:

            pip install djangorestframework-simplejwt

DRF 설정 구성:

`settings.py` 파일에 다음을 추가합니다:

            REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ),
}

SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
    'ROTATE_REFRESH_TOKENS': False,
    'BLACKLIST_AFTER_ROTATION': True,

    'ALGORITHM': 'HS256',
    'SIGNING_KEY': settings.SECRET_KEY,
    'VERIFYING_KEY': None,
    'AUTH_HEADER_TYPES': ('Bearer',),
    'USER_ID_FIELD': 'id',
    'USER_ID_CLAIM': 'user_id',

    'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),
    'TOKEN_TYPE_CLAIM': 'token_type',
}

설정 설명:

`ACCESS_TOKEN_LIFETIME`: 액세스 토큰이 유효한 기간(예: 5분).
`REFRESH_TOKEN_LIFETIME`: 새로 고침 토큰이 유효한 기간(예: 1일). 새로 고침 토큰은 사용자가 다시 로그인하지 않고도 새 액세스 토큰을 얻는 데 사용됩니다.
`ROTATE_REFRESH_TOKENS`: 각 사용 후 새로 고침 토큰을 회전할지 여부.
`BLACKLIST_AFTER_ROTATION`: 회전 후 이전 새로 고침 토큰을 블랙리스트에 추가할지 여부.
`ALGORITHM`: JWT 서명에 사용되는 알고리즘(HS256은 일반적인 선택임).
`SIGNING_KEY`: JWT 서명에 사용되는 비밀 키(일반적으로 Django SECRET_KEY).
`AUTH_HEADER_TYPES`: 인증 헤더 유형(일반적으로 "Bearer").

로그인 및 새로 고침 토큰 API 뷰 포함:

`djangorestframework-simplejwt`는 토큰을 얻고 새로 고치는 뷰를 제공합니다. `urls.py`에 포함합니다.

            from django.urls import path
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)

urlpatterns = [
    path('token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
]

`TokenObtainPairView`는 성공적인 인증 후 액세스 및 새로 고침 토큰을 제공합니다. `TokenRefreshView`는 유효한 새로 고침 토큰이 제공될 때 새 액세스 토큰을 제공합니다.

API 뷰를 구현합니다:

JWT 인증이 필요한 뷰의 간단한 예는 다음과 같습니다.

            from rest_framework import permissions
from rest_framework.response import Response
from rest_framework.views import APIView
from rest_framework_simplejwt.authentication import JWTAuthentication

class ExampleView(APIView):
    authentication_classes = [JWTAuthentication]
    permission_classes = [permissions.IsAuthenticated]

    def get(self, request):
        content = {
            'message': 'Hello, ' + request.user.username + '! You are authenticated.',
        }
        return Response(content)

토큰 인증 예와 마찬가지로 `authentication_classes`는 JWT 인증을 사용해야 함을 지정하고 `permission_classes`는 인증된 사용자만 액세스를 제한합니다.

JWT 인증의 장점

확장성: 토큰 유효성 검사에 데이터베이스 조회가 필요하지 않으므로 확장성이 더 뛰어납니다.
상태 비저장: JWT에는 인증에 필요한 모든 정보가 포함되어 있습니다.
표준화: JWT는 널리 채택된 표준이며 많은 라이브러리 및 플랫폼에서 지원됩니다.
마이크로 서비스 친화적: 서비스가 JWT를 독립적으로 확인할 수 있으므로 마이크로 서비스 아키텍처에 적합합니다.

JWT 인증의 단점

복잡성: 토큰 인증보다 구현이 더 복잡합니다.
토큰 크기: JWT는 단순 토큰보다 클 수 있으므로 대역폭 사용량이 증가할 수 있습니다.
토큰 해지: JWT를 해지하는 것은 어렵습니다. 일단 발급되면 만료될 때까지 유효합니다. 해결 방법에는 해지된 토큰을 블랙리스트에 추가하는 것이 포함되며, 이는 데이터베이스 종속성을 다시 도입합니다.

토큰 해지 전략

토큰 및 JWT 인증 방법 모두 액세스 권한을 해지하는 메커니즘이 필요합니다. 토큰 해지에 접근하는 방법은 다음과 같습니다.

토큰 인증 해지

토큰 인증을 사용하면 해지가 간단합니다. 데이터베이스에서 토큰을 삭제하기만 하면 됩니다.

            from rest_framework.authtoken.models import Token

try:
    token = Token.objects.get(user=request.user)
    token.delete()
except Token.DoesNotExist:
    pass

JWT 인증 해지

JWT 해지는 토큰 자체가 자체 포함되어 있고 유효성 검사를 위해 데이터베이스 조회를 (처음에) 사용하지 않기 때문에 더 복잡합니다. 일반적인 전략은 다음과 같습니다.

토큰 블랙리스트: 해지된 토큰을 블랙리스트(예: 데이터베이스 테이블 또는 Redis 캐시)에 저장합니다. JWT 유효성을 검사하기 전에 블랙리스트에 있는지 확인합니다. `djangorestframework-simplejwt`는 새로 고침 토큰 블랙리스트에 대한 기본 제공 지원을 제공합니다.
짧은 만료 시간: 짧은 액세스 토큰 만료 시간을 사용하고 새로 고침 토큰에 의존하여 새 액세스 토큰을 자주 얻습니다. 이렇게 하면 손상된 토큰을 사용할 수 있는 기회 창이 제한됩니다.
새로 고침 토큰 회전: 각 사용 후 새로 고침 토큰을 회전합니다. 이렇게 하면 매번 이전 토큰이 무효화되고 토큰 도난을 방지할 수 있습니다.

OAuth2 및 OpenID Connect

더 복잡한 인증 및 권한 부여 시나리오의 경우 OAuth2 및 OpenID Connect를 사용하는 것이 좋습니다. 이러한 표준은 자격 증명을 공유하지 않고 리소스에 대한 액세스 권한을 위임하기 위한 강력한 프레임워크를 제공합니다. OAuth2는 주로 권한 부여 프로토콜이고 OpenID Connect는 OAuth2를 기반으로 구축되어 인증 서비스를 제공합니다. `django-oauth-toolkit` 및 `django-allauth`와 같은 여러 Django 패키지는 OAuth2 및 OpenID Connect를 DRF API에 통합하는 것을 용이하게 합니다.

예제 시나리오: 사용자가 타사 애플리케이션에 API에 저장된 데이터에 대한 액세스 권한을 부여하려고 합니다. OAuth2를 사용하면 사용자는 사용자 이름과 비밀번호를 공유하지 않고 애플리케이션을 승인할 수 있습니다. 대신 애플리케이션은 정의된 권한 범위 내에서 사용자 데이터에 액세스하는 데 사용할 수 있는 액세스 토큰을 받습니다.

올바른 인증 방법 선택

가장 적합한 인증 방법은 특정 요구 사항에 따라 다릅니다.

단순성 및 구현 속도: 토큰 인증은 일반적으로 초기에 구현하기가 더 쉽습니다.
확장성: JWT 인증은 트래픽이 많은 API에 더 확장 가능합니다.
보안 요구 사항: 데이터의 민감도와 필요한 보안 수준을 고려하십시오. OAuth2/OpenID Connect는 가장 강력한 보안 기능을 제공하지만 구현이 더 복잡합니다.
마이크로 서비스 아키텍처: 각 서비스가 토큰을 독립적으로 확인할 수 있으므로 JWT는 마이크로 서비스에 적합합니다.

API 인증을 위한 모범 사례

HTTPS 사용: 항상 HTTPS를 사용하여 클라이언트와 서버 간의 통신을 암호화하고 자격 증명이 도청되지 않도록 보호합니다.
비밀을 안전하게 저장: 비밀 키 또는 비밀번호를 일반 텍스트로 저장하지 마십시오. 환경 변수 또는 안전한 구성 관리 도구를 사용하십시오.
속도 제한 구현: 속도 제한을 구현하여 클라이언트가 주어진 기간 내에 수행할 수 있는 요청 수를 제한하여 API를 남용으로부터 보호합니다.
입력 유효성 검사: 모든 입력 데이터의 유효성을 철저히 검사하여 주입 공격을 방지합니다.
모니터링 및 로깅: API에서 의심스러운 활동을 모니터링하고 감사 목적으로 인증 이벤트를 기록합니다.
라이브러리를 정기적으로 업데이트: 보안 패치 및 개선 사항의 이점을 얻으려면 Django, DRF 및 인증 라이브러리를 최신 상태로 유지하십시오.
CORS(교차 출처 리소스 공유) 구현: 신뢰할 수 있는 도메인만 웹 브라우저에서 API에 액세스할 수 있도록 CORS를 올바르게 구성합니다.

결론

적절한 인증 방법을 선택하는 것은 DRF API를 보호하는 데 매우 중요합니다. 토큰 인증은 단순성을 제공하고 JWT 인증은 확장성과 유연성을 제공합니다. API 보안에 대한 모범 사례와 함께 각 방법의 장단점을 이해하면 데이터와 사용자를 보호하는 강력하고 안전한 API를 구축할 수 있습니다.

특정 요구 사항을 고려하고 보안, 성능 및 구현 용이성의 균형을 가장 잘 맞추는 솔루션을 선택하는 것을 잊지 마십시오. 더 복잡한 권한 부여 시나리오의 경우 OAuth2 및 OpenID Connect를 살펴보십시오.