이번 튜토리얼은
사이트에 로그인을 어떻게 허락할 것인가 하는 인증(Authentication)과
허가한 페이지나 데이터를 보거나 할 수 있는 권한(Permissions) 기능을 작성할 것이다.
Django는 이러한 기본적인 인증과
권한 부여 시스템을 제공한다.
Django 프레임 워크는
User와 Groups을 위한 Model을 기본적으로 포함되어 있고
User의 권한을 지정할 수 있는 플래그,
User 로그인을 위한 Form과 View,
그리고 내용을 제한할 수 있는 View 도구를 제공한다.
다만,
Django의 인증 시스템은 매우 일반적인 것을 목표로 하기 때문에
로그인 시도 제한과 같은 인증 시스템은 제공하지 않는다.
Authentication 설정
Django에서 제공하는 인증과
권한 부여 기능을 사용하기 위해 따로 설정할 필요는 없다.
INSTALLED_APPS = [
...
#Core authentication framework and its default models.
'django.contrib.auth',
#Django content type system (allows permissions to be associated with models).
'django.contrib.contenttypes',
....
MIDDLEWARE = [
...
#Manages sessions across requests
'django.contrib.sessions.middleware.SessionMiddleware',
...
#Associates users with requests using sessions.
'django.contrib.auth.middleware.AuthenticationMiddleware',
....왜냐하면 프로젝트를 생성할 때
위와 같이 디폴트 값으로 설정되어지기 때문이다.
users와 groups 만들기
물론 직접 코드를 작성해서
만들 수도 있지만,
Django에서 기본적으로 제공해주는
관리자 사이트를 통해 작성해주는 것이 편하다.
위의 화면 과 같이 Add버튼을 통해
Group과 User를 추가할 수 있다.
먼저 위와 같이 권한이 없는 User의 Group인
Library Members를 만들어보자.
물론 아무런 권한이 필요 없기 때문에
그냥 저장하면 된다.
그 다음 User를 추가한다.
저장 하고 아래로 조금 내려보면
그룹을 지정할 수 있는데
위에서 만들었던 Library Members라는 이름의 Group으로 설정하자.
그리고 쭉 내려서
저장 하자.
오류 없이 저장했다면
아무런 권한이 없는 Library Members라는 그룹에
albertu라는 유저가 들어간 것이다.
그리고 Librarian Group과
librarian1이라는 user도 만들었다.
프로젝트 URL
그 다음은 locallibrary/urls.py에 아래와 같은 코드를 추가하자.
urlpatterns = [
path('admin/', admin.site.urls),
path('blog/', include('dryblog.urls')),
path('', RedirectView.as_view(url='/blog/', permanent=True)),
#Add Django site authentication urls(for login, logout, password management)
path('accounts/', include('django.contrib.auth.urls')),
] + static(settings.STATIC_URL, document_root=settings.STATIC_ROOT)
위의 코드는 Django에서 제공하는
계정 관련된 인증 URL의 매핑을 자동으로 해준다.
accounts/ login/ [name='login']
accounts/ logout/ [name='logout']
accounts/ password_change/ [name='password_change']
accounts/ password_change/done/ [name='password_change_done']
accounts/ password_reset/ [name='password_reset']
accounts/ password_reset/done/ [name='password_reset_done']
accounts/ reset/<uidb64>/<token>/ [name='password_reset_confirm']
accounts/ reset/done/ [name='password_reset_complete']
자동으로 매핑해주는 URL은 위와 같다.
정상적으로 매핑이 이루어지는지 확인해보자.
/registration/login.html이라는 경로에
Template가 존재하지 않는다는 에러가 표시된다.
물론 만들지 않았기 때문에 에러가 나는것은 당연하다.
Django에서 Template은 제공하지 않기 때문이다.
Template 경로
TEMPLATES = [
{
...
'DIRS': [os.path.join(BASE_DIR, 'templates')],
'APP_DIRS': True,
...locallibrary/templates/registration 까지 디렉토리를 생성하고
locallibrary/locallibrary/settings.py에 TEMPLATES 변수를 확인하자.
Login Template
/locallibarary/templates/registration/ 에
login.html 파일을 생성하고
{% extends "base_generic.html" %}
{% block content %}
{% if form.errors %}
<p>Your username and password didn't match. Please try again.</p>
{% endif %}
{% if next %}
{% if user.is_authenticated %}
<p>Your account doesn't have access to this page. To proceed,
please login with an account that has access.</p>
{% else %}
<p>Please login to see this page.</p>
{% endif %}
{% endif %}
<form method="post" action="{% url 'login' %}">
{% csrf_token %}
<table>
<tr>
<td>{{ form.username.label_tag }}</td>
<td>{{ form.username }}</td>
</tr>
<tr>
<td>{{ form.password.label_tag }}</td>
<td>{{ form.password }}</td>
</tr>
</table>
<input type="submit" value="login" />
<input type="hidden" name="next" value="{{ next }}" />
</form>
{# Assumes you setup the password_reset view in your URLconf #}
<p><a href="{% url 'password_reset' %}">Lost password?</a></p>
{% endblock %}
위와 같이 코드를 추가하자.
이제 브라우저에서
올바르게 Template에서 정의한대로
화면이 보여지는지 확인해보자.
위와 같이 화면이 나타나는 것을 확인할 수 있다.
다음으로 위와 같이
이전에 생성했던 User와 Password를 입력하고
login버튼을 눌러보자.
버튼을 누르면
이동 되어지고, 해당 페이지가 없다는 에러가 표시된다.
이전에 위에서 등록했던
인증 관련 URL의 login버튼을 눌렀을 시에
profile이라는 url으로 이동하도록
default값이 설정되어 있는 것을 알 수 있다.
문제를 해결하기 위해 로그인 했을 시
이 App의 홈페이지인
index.html로 리다이렉션 하도록 설정해보자.
# Redirect to home URL after login (Default redirects to /accounts/profile/)
LOGIN_REDIRECT_URL = '/'
위와 같이 locallibrary/locallibrary/ 경로의
settings.py 파일에 맨 아래에
로그인시 홈페이지(index.html)로 리다이렉션하도록
코드를 추가 한다.
추가한 다음 다시
User와 Passowrd를 입력 후 login버튼을 눌렀때
위와 같이 홈페이지로 이동 되는 것을 확인할 수 있다.
Logout Template
다음으로 Logout Template를 작성해보자.
작성하기 앞서서
위와 같이 특별히 에러는 표시되지 않지만
관리자 페이지에서 로그 아웃이 되는 것을 확인할 수 있다.
이것도 default 값으로 이렇게 설정되있는듯 한데
하지만, 굳이 관리자 페이지를 일반 사용자들에게 까지
보일 필요는 없다.
따라서 로그아웃 전용 템플릿을 만들 필요가 있다.
templates/registration/ 경로에
logged_out.html 파일을 생성하고
{% extends "base_generic.html" %}
{% block content %}
<p>Logged out!</p>
<a href="{% url 'login'%}">Click here to login again.</a>
{% endblock %}
위와 같이 코드를 추가하자.
코드는 매우 간단한데,
로그아웃이 되었다는 메시지와 함께
하이퍼 링크를 누르면
'login' value값을 가지고 있는 페이지로 이동하게 된다.
로그인이 되어있는 상태에서
위와 같은 화면이 보이고
하이퍼 링크를 누르게되면 홈페이지(index.html)화면으로 리다이렉트 된다.
비밀번호 재설정 Template
한번 쯤 홈페이지를 이용할 때
메일로 고유한 코드나 URL을 받아
비밀번호를 재설정하는
비밀번호 찾기 기능을 사용해 본적이 있을 것이다.
Django에서는 이 기능을 제공해준다.
① 비밀번호 재설정 Template
비밀번호 재설정을 하기 위한 이메일을 발송하려고 할 때,
사용자의 이메일 주소를 얻는데 사용되는 Template이다.
{% extends "base_generic.html" %}
{% block content %}
<form action="" method="post">
{% csrf_token %}
{% if form.email.errors %}
{{ form.email.errors }}
{% endif %}
<p>{{ form.email }}</p>
<input type="submit" class="btn btn-default btn-lg" value="Reset password">
</form>
{% endblock %}
/locallibrary/templates/registration/ 경로에
password_reset_form.html 파일을 생성하고
위와 같이 코드를 추가하자.
② 비밀번호 재설정 전송 완료 Template
사용자의 메일이 확인되었을 때,
표시되는 Template 이다.
{% extends "base_generic.html" %}
{% block content %}
<p>We've emailed you instructions for setting your password. If they haven't arrived in a few minutes, check your spam folder.</p>
{% endblock %}
/locallibrary/templates/registration/ 경로에
password_reset_done.html 파일을 생성하고
위와 같이 코드를 추가하자.
③ 비밀번호 재설정 이메일 Template
사용자에게 보내질 비밀번호 재설정 링크가 포함 된
HTML 이메일 텍스트 Template 이다.
Someone asked for password reset for email {{ email }}. Follow the link below:
{{ protocol}}://{{ domain }}{% url 'password_reset_confirm' uidb64=uid token=token %}
/locallibrary/templates/registration/ 경로에
password_reset_email.html 파일을 생성하고
위와 같이 코드를 추가하자.
④ 비밀번호 재설정 입력 Template
사용자가 비밀번호 재설정 이메일 링크를 클릭한 후
비밀번호를 재설정하는 Template이다.
{% extends "base_generic.html" %}
{% block content %}
{% if validlink %}
<p>Please enter (and confirm) your new password.</p>
<form action="" method="post">
{% csrf_token %}
<table>
<tr>
<td>{{ form.new_password1.errors }}
<label for="id_new_password1">New password:</label></td>
<td>{{ form.new_password1 }}</td>
</tr>
<tr>
<td>{{ form.new_password2.errors }}
<label for="id_new_password2">Confirm password:</label></td>
<td>{{ form.new_password2 }}</td>
</tr>
<tr>
<td></td>
<td><input type="submit" value="Change my password" /></td>
</tr>
</table>
</form>
{% else %}
<h1>Password reset failed</h1>
<p>The password reset link was invalid, possibly because it has already been used. Please request a new password reset.</p>
{% endif %}
{% endblock %}
/locallibrary/templates/registration/
/locallibrary/templates/registration/ 경로에
password_reset_confirm.html 파일을 생성하고
위와 같이 코드를 추가하자.
⑤ 비밀번호 재설정 완료 Template
비밀번호 재설정이 완료되었을때
이를 알리기 위해 표시되는 Template이다.
{% extends "base_generic.html" %}
{% block content %}
<h1>The password has been changed!</h1>
<p><a href="{% url 'login' %}">log in again?</a></p>
{% endblock %}
/locallibrary/templates/registration/ 경로에
password_reset_complete.html 파일을 생성하고
위와 같이 코드를 추가하자.
인증 페이지 테스트
지금 까지해서
URL을 추가하고,
추가한 URL에 대한 템플릿을 모두 작성했기 때문에
인증 페이지가 정상적으로 작동할 것 이다.
아래의 URL을 사용하여
Super User(맨 처음 만들었던 계정)에 로그인 한 후
로그아웃하여 Django에서 제공해주는 인증 기능을 테스트해보자.
로그인 페이지에서 비밀번호 재설정 기능을
테스트 할 수 있으며,
Django는 데이터베이스에 저장된
사용자에게만 재설정 이메일을 보낸다.
다만,
이번 장에서 배운 내용이 아니기 때문에
작동하지는 않지만 테스트는 가능하다.
테스트를 허용하려면 settings.py 파일 끝에
아래와 같은 코드를 추가하자.
EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'
이 코드를 추가할 경우
콘솔(cmd)로 비밀번호 재설정 링크를 보낼 것이다.
자세한 내용은 아래의 이메일 관련
공식 도큐먼트 링크를 참고하기 바란다.
이메일을 입력하고 보내면 실제 이메일이 가지는 않고
위의 빨간색 박스와 같이
cmd에 log가 출력되고
해당 URL을 복사해 브라우저로 접속하면
바꾸고 싶은 비밀 번호를 입력하고
Change my password 버튼을 누르면
작성 했던 Template 대로 바뀐 것을 확인해볼 수 있다.
