[250217] 인증(Authentication)과 권한(Authorization)

Django 인증(Authentication)과 권한(Authorization)

1. Django의 인증과 권한 시스템 개요

Django는 사용자 인증(Authentication)과 권한 관리(Authorization) 기능을 기본적으로 제공하여 보안이 필요한 웹 애플리케이션을 쉽게 개발할 수 있도록 돕는다.
이 기능을 활용하면 로그인, 로그아웃, 사용자 그룹 관리, 접근 제어 등을 구현할 수 있다.

 

2. 인증(Authentication)

인증이란?

사용자가 누구인지 확인하는 과정. 일반적으로 아이디 & 비밀번호 기반의 로그인 과정이 포함됨.

1️⃣ Django 기본 인증 시스템

Django는 `django.contrib.auth`앱을 통해 기본적인 인증 기능을 제공한다.

• `User` 모델 (`django.contrib.auth.models.User`)
• `authenticate()` 함수
• `login()` / `logout()` 함수

2️⃣ 사용자 인증 예제

• 사용자 인증 (로그인)

from django.contrib.auth import authenticate, login

def user_login(request):
    username = request.POST['username']
    password = request.POST['password']
   
    user = authenticate(request, username=username, password=password)
   
    if user is not None:
        login(request, user)
        return HttpResponse("로그인 성공")
    else:
        return HttpResponse("로그인 실패")

• `authenticate(request, username, password)`: 사용자 인증 수행
• `login(request, user)`: 세션을 생성하여 로그인 처리

 

3️⃣ 로그아웃 구현

from django.contrib.auth import logout

def user_logout(request):
    logout(request)
    return HttpResponse("로그아웃 완료")

• `logout(request)`: 세션을 삭제하고 로그아웃 처리

 

4️⃣ Django 기본 `User` 모델

Django는 기본적으로 `User`모델을 제공하며, 다음과 같은 필드를 포함한다.

from django.contrib.auth.models import User

user = User.objects.create_user(username="testuser", password="securepassword")
print(user.username)  # testuser

 

• `username`, `password`, `email`, `first_name`, `last_name` 등의 필드 포함
• `is_staff`, `is_active`, `is_superuser` 속성으로 권한 관리 가능

 

3. 권한(Authorization)

권한이란?
인증된 사용자가 특정 작업을 수행할 수 있는지 검사하는 과정.

1️⃣ Django의 기본 권한 시스템

Django는 기본적으로 3가지 기본 권한을 제공한다.

권한	설명
`add_<modelname>`	객체 추가 권한
`change_<modelname>`	객체 수정 권한
`delete_<modelname>`	객체 삭제 권한

• 권한 확인 예제

if request.user.has_perm('app_name.change_modelname'):
    print("수정 가능")
else:
    print("수정 불가")

 

• `has_perm('app_name.change_modelname')` → 특정 권한을 가지고 있는지 확인

 

2️⃣ 그룹 (`Group`) 기반 권한 관리

Django의 `Group`을 이용하면 여러 사용자에게 동일한 권한을 부여할 수 있다.

• 그룹 생성 및 사용자 추가

from django.contrib.auth.models import Group, User

group = Group.objects.create(name="Editors")  # "Editors" 그룹 생성
user = User.objects.get(username="testuser")
user.groups.add(group)  # 사용자 추가

 

• 특정 그룹에 속한 사용자는 해당 그룹의 모든 권한을 자동으로 상속

 

3️⃣ `@permission_required` 데코레이터

뷰에서 특정 권한이 있는 사용자만 접근 가능하도록 설정 가능

from django.contrib.auth.decorators import permission_required

@permission_required('app_name.view_modelname')
def my_view(request):
    return HttpResponse("권한이 있는 사용자만 접근 가능")

 

4. Django 인증 & 권한 활용 방법

1️⃣ `LoginRequiredMixin` (로그인 필수)

로그인이 필요한 뷰에 적용할 수 있는 Mixin

from django.contrib.auth.mixins import LoginRequiredMixin
from django.views.generic import View

class MyView(LoginRequiredMixin, View):
    def get(self, request):
        return HttpResponse("로그인한 사용자만 접근 가능")

 

• `LoginRequiredMixin`을 상속하면 비로그인 사용자는 로그인 페이지로 리디렉트됨

 

2️⃣ `UserPassesTestMixin` (사용자 권한 검사)

특정 조건을 만족하는 사용자만 접근 가능

from django.contrib.auth.mixins import UserPassesTestMixin

class AdminOnlyView(UserPassesTestMixin, View):
    def test_func(self):
        return self.request.user.is_superuser  # 관리자만 접근 가능

 

• `test_func()`에서 True를 반환하면 접근 가능

 

3️⃣ `@login_required` 데코레이터

로그인이 필요한 함수형 뷰

from django.contrib.auth.decorators import login_required

@login_required
def my_view(request):
    return HttpResponse("로그인한 사용자만 접근 가능")

 

 

인증과 권한 정리:
✔️ 인증(Authentication) → 사용자가 누구(인증된 유저)인지 확인 (로그인/로그아웃) 하는 작업이다~
✔️ 권한(Authorization) → 사용자가 특정 작업을 수행할 수 있는지 확인하는 작업이다~
✔️ Django는 기본 `User` 모델과 `Group`, `Permission` 시스템을 제공한다~
✔️ `@login_required`, `@permission_required`, `LoginRequiredMixin` 등을 활용하여 보안 적용이 가능하다~