Native Python Programing

FastAPI에서 세션 관리와 로그인, 로그아웃 기능은 주로 쿠키와 JWT(JSON Web Tokens) 또는 OAuth2를 사용하여 구현할 수 있습니다. 세션 관리는 서버에 상태를 저장하는 전통적인 방식과, 상태를 저장하지 않고 토큰을 사용하는 방법으로 나뉩니다. 여기서는 JWT 기반의 로그인/로그아웃과 세션 기반의 로그인/로그아웃 방법을 설명하겠습니다.

1. FastAPI에서 JWT 기반 로그인/로그아웃 구현

JWT는 서버에 세션 정보를 저장하지 않고도 인증할 수 있는 방식을 제공하며, 각 요청마다 JWT를 사용하여 인증합니다. 이를 통해 애플리케이션은 무상태(stateless)로 유지될 수 있습니다.

JWT 설정 및 구현

필요한 라이브러리 설치

FastAPI와 JWT를 사용하기 위해 필요한 라이브러리를 설치합니다.

pip install fastapi[all] pyjwt passlib

JWT 토큰 생성 및 검증을 위한 설정

FastAPI에서 JWT를 생성하고 검증하는 예제를 살펴보겠습니다.

from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel
from datetime import datetime, timedelta
from typing import Optional
import jwt
from passlib.context import CryptContext

# 앱 생성
app = FastAPI()

# 보안 설정
SECRET_KEY = "mysecretkey"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# 유저 데이터 예시
fake_users_db = {
    "testuser": {
        "username": "testuser",
        "full_name": "Test User",
        "email": "test@example.com",
        "hashed_password": "$2b$12$KIXdFh6fDF/hjEPGzTj6me2VVd./tFMyOP58/GKse4Gzi8TOSwlxu", # "password"의 해시값
    }
}

# 비밀번호 해싱 도구 설정
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# OAuth2를 사용한 비밀번호 기반 인증
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

# 유저 모델 정의
class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None

class UserInDB(User):
    hashed_password: str

class Token(BaseModel):
    access_token: str
    token_type: str

def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)

def get_password_hash(password):
    return pwd_context.hash(password)

def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user or not verify_password(password, user.hashed_password):
        return False
    return user

def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    expire = datetime.utcnow() + (expires_delta or timedelta(minutes=15))
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

@app.post("/token", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token = create_access_token(data={"sub": user.username}, expires_delta=timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES))
    return {"access_token": access_token, "token_type": "bearer"}

@app.get("/users/me", response_model=User)
async def read_users_me(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials")
        token_data = {"username": username}
    except jwt.PyJWTError:
        raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials")

    user = get_user(fake_users_db, username=token_data["username"])
    if user is None:
        raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="User not found")
    return user

코드 설명

• login 엔드포인트는 사용자의 자격 증명을 검증하고 JWT를 발급합니다.
• read_users_me 엔드포인트는 발급된 JWT를 통해 사용자를 인증합니다. JWT가 유효하지 않으면 401 Unauthorized 응답을 반환합니다.
• JWT 토큰은 sub 필드에 사용자의 이름을 포함하고, 만료 시간을 설정할 수 있습니다.

실행 및 테스트

서버 실행 후 /token 엔드포인트에 POST 요청을 보내어 access_token을 받습니다. 이 토큰을 /users/me 엔드포인트의 Authorization 헤더에 Bearer 타입으로 포함하여 요청하면 사용자 정보를 확인할 수 있습니다.

2. FastAPI에서 쿠키 기반 세션 관리 및 로그인/로그아웃 구현

세션 기반 인증은 보통 쿠키를 사용하여 세션 정보를 관리하며, 사용자 정보를 서버에 저장하여 관리합니다. 다음은 간단한 세션 기반 로그인/로그아웃 예제입니다.

FastAPI에서 세션 관리 예제

세션 관리를 위해 starlette.middleware.sessions를 사용하여 세션 미들웨어를 추가합니다.

필요한 라이브러리 설치

pip install fastapi[all]

세션을 이용한 로그인 구현

from fastapi import FastAPI, Request, Depends, Form, HTTPException
from fastapi.responses import RedirectResponse
from fastapi.middleware.sessions import SessionMiddleware
from starlette.responses import JSONResponse

# FastAPI 앱 생성 및 세션 미들웨어 추가
app = FastAPI()
app.add_middleware(SessionMiddleware, secret_key="mysecretkey")

# 유저 데이터베이스 예시
fake_users_db = {
    "testuser": {
        "username": "testuser",
        "password": "password"
    }
}

def authenticate_user(username: str, password: str):
    user = fake_users_db.get(username)
    return user and user["password"] == password

@app.post("/login")
async def login(request: Request, username: str = Form(...), password: str = Form(...)):
    if authenticate_user(username, password):
        request.session["username"] = username
        return JSONResponse(content={"message": "Login successful"})
    else:
        raise HTTPException(status_code=400, detail="Invalid credentials")

@app.get("/logout")
async def logout(request: Request):
    request.session.clear()
    return JSONResponse(content={"message": "Logout successful"})

@app.get("/profile")
async def profile(request: Request):
    username = request.session.get("username")
    if not username:
        raise HTTPException(status_code=401, detail="Not authenticated")
    return {"username": username}

코드 설명

• SessionMiddleware: 쿠키 기반 세션을 위해 SessionMiddleware를 FastAPI 애플리케이션에 추가합니다.
• login 엔드포인트: 로그인 자격을 확인하고, 세션에 사용자 정보를 저장합니다.
• logout 엔드포인트: 세션을 삭제하여 사용자를 로그아웃합니다.
• profile 엔드포인트: 세션에 저장된 사용자 정보를 확인합니다. 인증되지 않은 사용자는 401 Unauthorized 응답을 받습니다.

실행 및 테스트

로그인 후 /profile 엔드포인트를 호출하면 세션에 저장된 사용자 정보를 확인할 수 있습니다. 로그아웃 요청 후 /profile을 다시 호출하면 인증되지 않은 상태로 간주됩니다.

결론

FastAPI에서 JWT와 세션 기반 로그인/로그아웃을 설정하는 방법을 살펴보았습니다. FastAPI는 다양한 인증 방식을 지원하며, RESTful API 및 인증 시스템을 효율적으로 구현할 수 있습니다.

파이썬을 이용한 세션 관리와 사용자 인증 서버는 웹 애플리케이션의 중요한 부분으로, 특히 게임 서버에서 사용자 정보를 유지하고 보안을 강화하는 데 중요한 역할을 합니다. 이 두 요소는 사용자 상태를 추적하고, 인증된 사용자만이 서버의 리소스에 접근할 수 있도록 도와줍니다. 다음은 세션 관리와 사용자 인증을 구현하는 방법, 특징 및 예제 코드입니다.

1. 세션 관리 개요

세션 관리는 서버가 각 사용자별로 상태를 유지하는 방법입니다. HTTP는 기본적으로 상태를 유지하지 않는 프로토콜이므로, 클라이언트와 서버 간의 요청이 매번 독립적으로 처리됩니다. 세션 관리를 통해 서버는 사용자의 로그인 상태, 장바구니, 게임 진행 상황 등의 정보를 추적할 수 있습니다.

• 세션 ID: 서버는 각 사용자에게 고유한 세션 ID를 부여하고, 이 세션 ID를 클라이언트 측 쿠키로 저장하거나 URL 파라미터를 통해 전달합니다.
• 서버 저장소: 서버는 세션 ID와 매핑된 데이터를 메모리, 파일, 데이터베이스, Redis와 같은 외부 저장소에 저장합니다.

2. 사용자 인증 개요

사용자 인증은 사용자 식별을 위해 로그인 및 토큰 인증 등의 방식을 사용합니다. 게임 서버에서는 보통 JWT (JSON Web Token) 같은 토큰 기반 인증 방식이 많이 사용됩니다. 사용자가 로그인하면 서버가 인증 토큰을 발급하여, 이후의 모든 요청에 인증 토큰을 포함시켜 사용자 인증을 처리합니다.

3. 세션 관리 및 사용자 인증 서버 구현 방법

(1) Flask 프레임워크 기반 세션 관리 및 사용자 인증

Flask는 파이썬에서 널리 사용되는 마이크로 웹 프레임워크로, 간단한 세션 관리와 사용자 인증 시스템을 구현하는 데 유용합니다.

Flask 세션 관리 예제

Flask에서 기본적으로 서버 측 세션 관리를 지원하며, 쿠키를 통해 세션 ID를 관리합니다. 다음은 간단한 세션 관리 예제입니다.

pip install Flask

from flask import Flask, session, redirect, url_for, request

app = Flask(__name__)
app.secret_key = 'supersecretkey'  # 세션 암호화에 사용되는 키

# 세션에 사용자 정보 저장
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        session['username'] = request.form['username']
        return redirect(url_for('welcome'))
    return '''
        <form method="post">
            <p><input type=text name=username>
            <p><input type=submit value=Login>
        </form>
    '''

# 세션에서 사용자 정보 읽기
@app.route('/welcome')
def welcome():
    if 'username' in session:
        return f"Welcome {session['username']}!"
    return redirect(url_for('login'))

# 로그아웃 시 세션 삭제
@app.route('/logout')
def logout():
    session.pop('username', None)
    return redirect(url_for('login'))

if __name__ == '__main__':
    app.run(debug=True)

• 설명: 이 코드는 사용자가 로그인하면 세션에 username을 저장하고, 이후의 요청에서 이 세션 정보를 바탕으로 사용자 상태를 유지합니다. secret_key는 세션 데이터의 무결성을 보장하기 위해 사용됩니다.
• 세션 저장: Flask는 기본적으로 쿠키 기반 세션을 지원하므로, 세션 데이터는 암호화된 형태로 클라이언트 쿠키에 저장됩니다. 큰 데이터를 저장해야 하거나 더 안전한 세션 관리를 위해 Redis나 데이터베이스와 같은 외부 저장소를 사용할 수도 있습니다.

Redis를 이용한 세션 관리

세션 데이터를 서버 메모리에 저장하는 것보다 더 확장성 있고 안정적인 관리 방법으로 Redis를 사용할 수 있습니다. Flask에서 Redis를 세션 백엔드로 사용하는 방법은 Flask-Session 패키지를 사용합니다.

pip install Flask-Session redis

from flask import Flask, session
from flask_session import Session
import redis

app = Flask(__name__)
app.config['SESSION_TYPE'] = 'redis'
app.config['SESSION_PERMANENT'] = False
app.config['SESSION_USE_SIGNER'] = True
app.config['SESSION_REDIS'] = redis.Redis(host='localhost', port=6379)
Session(app)

@app.route('/')
def index():
    if 'visits' in session:
        session['visits'] = session.get('visits') + 1
    else:
        session['visits'] = 1
    return f"Total visits: {session['visits']}"

if __name__ == "__main__":
    app.run(debug=True)

• 설명: 이 코드는 Flask와 Redis를 이용해 세션을 관리하는 방법을 보여줍니다. 클라이언트가 서버를 재시작하거나 다른 서버로 요청을 보내도, Redis에 세션 데이터를 저장하므로 세션 상태가 유지됩니다.

(2) Flask와 JWT를 사용한 사용자 인증

JWT (JSON Web Token)는 클라이언트 측에서 인증 정보를 저장하고 관리할 수 있는 안전하고 효율적인 방법입니다. JWT는 서버가 발급한 후 클라이언트는 이 토큰을 요청마다 보내 서버에서 인증할 수 있습니다.

JWT 기반 사용자 인증 예제

pip install Flask-JWT-Extended

from flask import Flask, jsonify, request
from flask_jwt_extended import JWTManager, create_access_token, jwt_required, get_jwt_identity

app = Flask(__name__)
app.config['JWT_SECRET_KEY'] = 'supersecretkey'
jwt = JWTManager(app)

# 가상의 사용자 데이터베이스
users = {'testuser': 'testpassword'}

@app.route('/login', methods=['POST'])
def login():
    username = request.json.get('username')
    password = request.json.get('password')

    # 사용자 인증
    if users.get(username) == password:
        access_token = create_access_token(identity=username)
        return jsonify(access_token=access_token), 200
    return jsonify({"msg": "Invalid credentials"}), 401

# 인증된 사용자만 접근 가능
@app.route('/protected', methods=['GET'])
@jwt_required()
def protected():
    current_user = get_jwt_identity()
    return jsonify(logged_in_as=current_user), 200

if __name__ == '__main__':
    app.run(debug=True)

• 설명:
  • login 엔드포인트에서 클라이언트가 로그인하면, 서버는 JWT를 생성하고 클라이언트에게 반환합니다.
  • @jwt_required() 데코레이터를 사용하여 인증된 사용자만 특정 엔드포인트에 접근할 수 있도록 제한할 수 있습니다.
  • JWT는 기본적으로 클라이언트 측에서 저장되며, 서버는 상태를 저장하지 않아도 되기 때문에 확장성이 높습니다.

JWT 동작 과정:

1. 클라이언트가 /login 엔드포인트로 로그인 요청을 보냅니다.
2. 서버는 인증에 성공하면 access_token을 클라이언트에게 반환합니다.
3. 클라이언트는 이후 요청 시 이 토큰을 Authorization 헤더에 포함시켜 서버에 보냅니다.
4. 서버는 토큰을 검증하여 사용자 인증을 처리합니다.

4. 세션 관리 및 사용자 인증 시 고려할 사항

• 보안: 세션이나 JWT를 사용해 사용자 인증을 할 때는 반드시 HTTPS를 사용하여 데이터 전송 시 암호화가 이루어져야 합니다. JWT의 경우, 서명을 검증해 무결성을 확인해야 하며, 만료 시간을 설정하여 토큰 유효성을 관리해야 합니다.
• 세션 만료: 세션이나 JWT의 만료 시간을 적절히 설정하여 보안 위험을 줄여야 합니다. 예를 들어, 세션은 일정 시간이 지나면 자동으로 삭제되도록 설정할 수 있습니다.
• 확장성: 세션 데이터를 서버에서 관리할 경우, 여러 서버 간에 세션 정보를 공유하는 문제가 발생할 수 있습니다. 이를 해결하기 위해 Redis와 같은 외부 스토리지를 사용하여 세션을 관리하는 것이 좋습니다.

이와 같은 세션 관리와 인증 방식은 게임 서버에서 사용자 로그인, 게임 상태 저장, 인증된 사용자만 접근할 수 있는 자원 관리를 효과적으로 처리할 수 있습니다.

파이썬 Flask에서 세션, 로그인, 로그아웃 구현

Flask는 간단하고 유연한 파이썬 웹 프레임워크로, 세션 관리 및 사용자 인증 기능을 쉽게 구현할 수 있습니다. 이 기능을 활용하여 웹 애플리케이션에서 로그인, 로그아웃을 구현하고 사용자의 상태를 관리할 수 있습니다.

1. Flask 세션이란?

세션(session)은 클라이언트가 웹 애플리케이션에 접속한 후, 서버에서 클라이언트와의 상호작용 상태를 유지하기 위한 저장 공간입니다. Flask에서는 session 객체를 사용하여 세션 데이터를 저장할 수 있으며, 이 데이터는 클라이언트의 쿠키에 저장됩니다. Flask는 쿠키의 무결성을 보장하기 위해 비밀 키(Secret Key)를 사용하여 세션 데이터를 서명합니다.

2. Flask-Login이란?

Flask-Login은 Flask 애플리케이션에서 사용자 로그인, 로그아웃, 세션 관리 등을 쉽게 구현할 수 있는 확장 라이브러리입니다. 주로 사용자의 인증 및 세션 관리를 다룹니다.

주요 기능:

• 사용자 로그인 및 로그아웃 관리
• 사용자 세션 유지 (로그인 상태)
• 로그인하지 않은 사용자에 대한 페이지 접근 제한
• Remember Me 기능을 통한 지속적인 로그인 세션

설치

pip install flask flask-login

3. 기본 Flask 세션 및 로그인 예제

다음은 기본적인 Flask에서의 세션과 로그인, 로그아웃 구현 예제입니다.

from flask import Flask, render_template, redirect, url_for, request, session, flash
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user

app = Flask(__name__)

# 세션을 위한 비밀 키 설정
app.secret_key = 'your_secret_key'

# Flask-Login 설정
login_manager = LoginManager()
login_manager.init_app(app)
login_manager.login_view = 'login'  # 로그인 페이지 경로 설정

# 사용자 정보를 담을 가상의 사용자 데이터베이스 (딕셔너리 형태로 간단히 구현)
users = {
    'admin': {'password': 'secret'}
}

# 사용자 클래스를 정의
class User(UserMixin):
    def __init__(self, username):
        self.id = username

# Flask-Login은 사용자를 로드하는 함수 필요
@login_manager.user_loader
def load_user(username):
    if username in users:
        return User(username)
    return None

# 홈 페이지
@app.route('/')
@login_required
def home():
    return f'Hello, {current_user.id}! You are logged in.'

# 로그인 페이지
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']

        # 사용자 인증
        if username in users and users[username]['password'] == password:
            user = User(username)
            login_user(user)  # 로그인 처리
            flash('Logged in successfully!')
            return redirect(url_for('home'))  # 로그인 후 홈으로 이동
        else:
            flash('Invalid username or password')  # 잘못된 로그인 정보

    return render_template('login.html')

# 로그아웃 처리
@app.route('/logout')
@login_required
def logout():
    logout_user()  # Flask-Login에서 제공하는 로그아웃 함수
    flash('You have been logged out.')
    return redirect(url_for('login'))

# 로그인 상태에서만 접근 가능한 페이지
@app.route('/protected')
@login_required
def protected():
    return 'This is a protected page. Only logged-in users can see this.'

# 서버 실행
if __name__ == '__main__':
    app.run(debug=True)

4. 코드 설명

1. Flask 기본 설정

app = Flask(__name__)
app.secret_key = 'your_secret_key'  # 세션을 위한 비밀 키

Flask 애플리케이션을 생성하고, 세션 데이터 보호를 위해 secret_key를 설정합니다. 이 키는 세션 데이터를 서명하여 조작되지 않도록 보호합니다.

2. Flask-Login 설정

login_manager = LoginManager()
login_manager.init_app(app)
login_manager.login_view = 'login'

Flask-Login의 인스턴스를 생성하고, Flask 애플리케이션에 등록합니다. login_view는 로그인하지 않은 사용자가 접근할 수 없는 페이지에 접근할 때 리디렉션될 로그인 페이지 경로입니다.

3. 사용자 클래스 정의 (UserMixin)

class User(UserMixin):
    def __init__(self, username):
        self.id = username

Flask-Login은 UserMixin을 사용하는 User 클래스를 요구합니다. 이 클래스는 로그인한 사용자의 ID를 관리하고 UserMixin을 상속받아 여러 유틸리티 메서드를 사용할 수 있습니다.

4. 로그인 사용자 로드 함수

@login_manager.user_loader
def load_user(username):
    if username in users:
        return User(username)
    return None

Flask-Login은 사용자 정보를 세션에서 가져오기 위해 사용자 로딩 함수가 필요합니다. 이 함수는 사용자 ID를 사용해 사용자를 데이터베이스에서 가져옵니다.

5. 로그인 처리

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']

        # 사용자 인증
        if username in users and users[username]['password'] == password:
            user = User(username)
            login_user(user)
            flash('Logged in successfully!')
            return redirect(url_for('home'))
        else:
            flash('Invalid username or password')

    return render_template('login.html')

• 로그인 페이지는 GET 요청 시 화면에 표시됩니다.
• POST 요청 시, 사용자 입력 정보를 통해 인증을 수행하고, 인증 성공 시 login_user()를 통해 세션을 시작합니다.

6. 로그아웃 처리

@app.route('/logout')
@login_required
def logout():
    logout_user()  # Flask-Login에서 제공하는 로그아웃 함수
    flash('You have been logged out.')
    return redirect(url_for('login'))

• logout_user()를 호출하여 사용자의 세션을 종료합니다.

7. 로그인 필수 데코레이터 (@login_required)

@app.route('/protected')
@login_required
def protected():
    return 'This is a protected page. Only logged-in users can see this.'

@login_required 데코레이터를 사용하여 로그인한 사용자만 접근할 수 있는 페이지를 정의할 수 있습니다. 로그인하지 않은 사용자가 이 페이지에 접근하려고 하면 login_view로 리디렉션됩니다.

5. 로그인 페이지 템플릿 (login.html)

로그인 화면을 위한 간단한 HTML 템플릿입니다.

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Login</title>
</head>
<body>
    <h2>Login</h2>
    <form method="POST" action="/login">
        <label for="username">Username:</label>
        <input type="text" name="username" id="username" required>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password" id="password" required>
        <br>
        <button type="submit">Login</button>
    </form>

    {% with messages = get_flashed_messages() %}
      {% if messages %}
        <ul>
        {% for message in messages %}
          <li>{{ message }}</li>
        {% endfor %}
        </ul>
      {% endif %}
    {% endwith %}
</body>
</html>

설명:

• 사용자 이름과 비밀번호를 입력받고 POST 요청으로 로그인 폼을 제출합니다.
• 로그인 시 오류가 있으면 Flash 메시지를 통해 사용자에게 알립니다.

결론

이 예제에서는 Flask 세션과 Flask-Login을 사용하여 로그인과 로그아웃 기능을 구현하는 방법을 다뤘습니다. Flask-Login은 로그인한 사용자 세션을 관리하고, 로그인하지 않은 사용자가 접근할 수 없는 페이지를 보호하는 데 매우 유용합니다. 비동기 작업이나 데이터베이스 연동 등과 함께 사용할 수 있으며, 더 복잡한 인증 시스템을 구현할 때 매우 유용한 도구입니다.

추가적으로 구현하고 싶은 기능이나 질문이 있으면 언제든지 알려주세요!