Django Auth 개요
Django authentication system
Authentication( 인증 ),Authorization( 권한 ) 부여를 함께 제공하고 있음
필수 구성은 settings.py에 INSTALLED_APPS에서 확인 가능
INSTALLED_APPS = [
'articles',
'bootstrap5',
'django.contrib.admin', # 관리자
'django.contrib.auth', # 유저 / 인증
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
]Authentication (인증)
- 신원 확인
- 사용자가 자신이 누구인지 확인하는 것
Authorization (권한,허가)
- 권한 부여
- 인증된 사용자가 수행할 수 있는 작업을 결정
사전 설정
accounts 앱 등록
git bash 앱 생성
django 내부적으로 auth관련 경로 키워드로 accounts를 사용하므로 추후에 추가 경로 설정 필요 없다.
accounts 라는 이름 선호
$ python manage.py startapp accountssettings.py 에 앱 추가
INSTALLED_APPS = [
'articles',
'accounts',
'django_bootstrap5',
'django.contrib.admin', # 관리자
'django.contrib.auth', # 유저 / 인증
...
]urls.py 분리
accounts/urls.py
from django.urls import path
from . import views
app_name = 'accounts'
urlpatterns = [
]pjt/urls.py
from django.contrib import admin
from django.urls import path, include
urlpatterns = [
...
path('accounts/', include('accounts.urls')),
]Django User Model
기본 모델 그대로 사용은 비추천
Django는 기본적인 인증 시스템과 여러 가지 필드가 포함된 User Model을 제공한다.
하지만 커스텀 User 모델을 설정하는 것을 강력하게 권장(highly recommended)
=> 필요한 경우 나중에 맞춤 설정할 수 있기 때문단, User 모델 대체 작업은 프로젝트의 모든 migrations 혹은 첫 migrate를 실행하기 전에 이 작업을 마쳐야 함
why??
모델을 바꾼다? => DB가 변경된다 => 나중에 바꾸려면 힘들다. 초기에 제대로 설정하는게 좋다.
built-in 모델이 부적절한 경우 예시
- 회원가입 시
username대신email을 식별 값으로 사용하는 경우
AUTH_USER_MODEL
settings.py 설정
seetings.py에 AUTH_USER_MODEL 값을 변경하여 기본 모델을 재정의 할 수 있다.
기본값 ( 따로 명시가 되어있지 않음, 표현하자면 다음과 같다 )
...
# Default User Model
AUTH_USER_MODEL = 'auth.User'변경값
...
# User Model
AUTH_USER_MODEL = 'accounts.User'models.py 설정
AbstractUser를 상속받는 커스텀 User 클래스 작성
from django.db import models
from django.contrib.auth.models import AbstractUser
class User(AbstractUser):
pass마이그레이션
$ python manage.py makemigrations
$ python manage.py migrateadmin.py 설정
from django.contrib import admin
from django.contrib.auth.admin import UserAdmin
from .models import User
# Register your models here.
admin.site.register(User, UserAdmin)admin 관리자 계정 추가(참고)
$ python manage.py createsuperuserUser Model 상속 관계
AbstractBaseUser: 비밀번호, 인증
AbstractUser: username, email, etc
AbstractUser 사용하는 이유
custom 하고 싶은 목적에 따라서 상속 받는 클래스에 접근하여 수정하면 된다.
현재 우리는 username과 email 부븐을 커스텀 하고 싶으므로 AbstractUser를 불러와 수정한다.
auth_user가 아니라 accounts_user로 변경된 테이블 확인
패스워드
django_extension 설치
쉘 명령 위해 설치. ipython은
$ pip install django-extensions
$ pip install ipythonsettings.py에 앱 등록
INSTALLED_APPS = [
...
'django_extensions',
...
]shell_plus 실행
$ python manage.py shell_plusmodels에서 자동으로 import 해줌 (참고)
kjunh@Hvvany-PEN-S MINGW64 ~/CRUD2
$ python manage.py shell_plus
# Shell Plus Model Imports
from accounts.models import User
from articles.models import Article
from django.contrib.admin.models import LogEntry
from django.contrib.auth.models import Group, Permission
from django.contrib.contenttypes.models import ContentType
from django.contrib.sessions.models import Session
# Shell Plus Django Imports
from django.core.cache import cache
from django.conf import settings
from django.contrib.auth import get_user_model
from django.db import transaction
from django.db.models import Avg, Case, Count, F, Max, Min, Prefetch, Q, Sum, When
from django.utils import timezone
from django.urls import reverse
from django.db.models import Exists, OuterRef, Subquery
Python 3.9.13 (tags/v3.9.13:6de2ca5, May 17 2022, 16:36:42) [MSC v.1929 64 bit (AMD64)]
Type 'copyright', 'credits' or 'license' for more information
IPython 8.5.0 -- An enhanced Interactive Python. Type '?' for help.Article에서 게시글 생성하는 코드
In [1]: Article.objects.create(title='제목1', content='내용1')
Out[1]: <Article: Article object (1)>User에 데이터 추가하기
비밀번호 다보인다
In [2]: User.objects.create(username='sun', password='비밀번호 다보임')
Out[2]: <User: sun>
비밀번호 암호화
비밀 번호는 암호화 과정이 필요하다. 역으로 추론 가능한 방식은 금지!
Django에서는 기본으로 PBKDF2를 (Password-Based Key Derivation Function) 사용하여 저장
•
단방향 해시함수를 활용하여 비밀번호를다이제스트로 암호화하며, 이는 복호화가 불가능함
• 단방향 해시함수는 MD5, SHA-1, SHA-256 등이 존재하며, Django는SHA256 활용
• 단방향 해시함수의 경우 레인보우 공격 및 무차별 대입 공격 등의 문제가 발생 가능함
• 이를 보완하기 위하여 아래의 기법을 추가적으로 활용함•
솔팅(Salting): 패스워드에 임의의 문자열인 salt를 추가하여 다이제스트를 생성
=> 예시 'abcd'입력 시 상황마다 뒤에 'aaa' 'bbe' 같은 서로 다른 문자를 뒤에 붙여 제작
•키 스트레칭(Key Stretching): 해시를 여러 번 반복하여 시간을 늘림
User 객체 활용
User 생성
In [4]: User.objects.create_user('hong', 'hong@gmail.com', '1q2w3e4r')
Out[4]: <User: hong>
In [5]: User.objects.create_user('kim', 'hong@gmail.com', '1234')
Out[5]: <User: kim>User 비밀번호 변경
user = User.objects.get(pk=2)
User.set_password(‘new password’)
User.save()User 인증(비밀번호 확인)
In [6]: from django.contrib.auth import authenticate
In [7]: user = authenticate(username='hong', password='1q2w3e4r')
In [8]: user
Out [8]: <User: hong>
패스 워드가 다르면 반환 값 없음회원가입 구현
User Creation Form
username과password로 권한이 없는새 user를 생성하는 ModelForm
- username (from the user model)
- password1
- passwrod2 => 차후에 비밀번호 검증까지 자동으로 구현해주기 위해 pw2까지 기본으로 존재
form 제공(GET)
urls.py 설정
from django.urls import path
from . import views
app_name = 'accounts'
urlpatterns = [
path('signup/', views.signup, name='signup')
]views.py 설정
from django.shortcuts import render
from django.contrib.auth.forms import UserCreationForm
def signup(request):
if request.method == 'POST':
pass # POST요청은 일단 둔다. 뒤에서 코드 완성!
else:
form = UserCreationForm()
context = {
'form':form
}
return render(request, 'accouts/signup.html', context)signup.html 폼 생성
{% extends 'base.html' %}
{% load django_bootstrap5 %}
{% block body %}
<h1>회원가입</h1>
<form action="{% url 'accounts:signup' %}" method="POST">
{% csrf_token %}
{% bootstrap_form form %}
{% bootstrap_button button_type='submit' content='OK' %}
</form>
{% endblock body %}form 정보 저장(POST)
def signup(request):
if request.method == 'POST':
form = UserCreationForm(request.POST)
if form.is_valid():
form.save()
return redirect('articles:index')
else:
form = UserCreationForm()
context = {
'form':form # GET 요청을 받으면 입력 폼을 넘겨주고, POST 요청을 받고 유효성 통과 못하면 기존 잘못된 폼으로 돌아가게 들여쓰기 주의하여 작성해야함
}
return render(request, 'accounts/signup.html', context)signup.html
if문으로 GET, POST구분하였으므로 action의 url은 지워줘도 된다.
<form action="" method="POST">여기 까지만 하면 에러가 발생한다. 기본 설정되어있는 user를 커스텀한 user로 변경해주지 않아서 발생한다.
library/ django/ contrib/ auth/ forms.py 내부에 UserCreationForm 클래스에 들어가보면 user가 기본으로 설정되어 있다.
바꿀려면?? 상속을 받아 사용하면 된다.
forms.py를 accounts에 만들어준다!!
forms.py를 accounts 안에 만들어준다
UserCreationForm을 상속 받아서 CustomUserCreationForm으로 커스텀해준다.
from django.contrib.auth.forms import UserCreationForm
from .models import User
class CustomUserCreationForm(UserCreationForm):
class Meta:
model = User # AbstractUser에서 상속받아 커스텀한 User
fields = ('username',)from django.contrib.auth.forms import UserCreationForm 으로 사용 한것을
from .forms import CustomUserCreationForm 으로 변경해준다.
views.py
get_user_model( )
공식 문서를 보면 .models에서 직접 참조로 User를 가져오는 것 보다는 get_user_model()함수를 사용하는 을 추천한다.
함수를 사용하면 settings.py에서 지정한 AUTH_USER_MODEL = 'accounts.User'를 참조하게 된다.
from .models import User 를 from django.contrib.auth import get_user_model 로 변경
accounts/admin.py
...
from django.contrib.auth import get_user_model
# Register your models here.
admin.site.register(get_user_model(), UserAdmin)accounts/forms.py
from django.contrib.auth.forms import UserCreationForm
from django.contrib.auth import get_user_model
class CustomUserCreationForm(UserCreationForm):
class Meta:
model = get_user_model()
fields = ('username',)프로필 페이지 만들기
urls.py
from django.urls import path
from . import views
app_name = 'accounts'
urlpatterns = [
...
path('<int:pk>/', views.detail, name='detail'),
]views.py
...
from django.contrib.auth import get_user_model
...
def detail(request, pk):
user = get_user_model().objects.get(pk=pk)
context = {
'user':user
}
return render(request, 'accounts/detial.html', context)detail.html
{% extends 'base.html' %}
{% load django_bootstrap5 %}
{% block body %}
<h1>{{ user.username }} 님의 페이지</h1>
{% endblock body %}
0개의 댓글
