Colin's Blog
[파이썬] Flask에서의 보안 고려사항

Flask는 파이썬으로 작성된 경량 웹 프레임워크로, 작은 규모의 웹 애플리케이션을 만들기 위한 강력한 도구입니다. 하지만 Flask 애플리케이션을 개발할 때는 보안에 대한 고려사항을 유념해야 합니다. 이 글에서는 Flask 애플리케이션에서 중요한 보안 측면과 그에 따른 대응 방안에 대해 알아보겠습니다.

1. 사용자 인증과 인가

Flask 앱에 사용자 인증과 인가 기능을 구현하여 액세스 제어를 강화할 수 있습니다. Flask는 Flask-Login이라는 확장을 통해 사용자 인증을 구현할 수 있으며, Flask-Principal 확장으로 인가를 구현할 수 있습니다. 사용자 인증 과정에서는 비밀번호 해시화와 같은 안전한 인증 방식을 사용해야 합니다.

from flask_login import LoginManager, UserMixin, login_required

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_secret_key'

login_manager = LoginManager(app)
login_manager.login_view = 'login'

class User(UserMixin):
    pass

@login_manager.user_loader
def user_loader(id):
    # 유저 정보를 가져와서 리턴
    return User.get(id)

@app.route('/login', methods=['GET', 'POST'])
def login():
    # 로그인 로직 구현
    pass

@app.route('/dashboard')
@login_required
def dashboard():
    # 인증된 사용자만 접근 가능한 페이지
    pass

2. CSRF(Cross-Site Request Forgery) 방어

Flask에서는 기본적으로 CSRF 보호 기능을 제공합니다. 하지만 앱이 CSRF 공격에 취약할 수 있는 경우가 있으므로, 요청에 CSRF 토큰을 포함시켜 안전한 요청을 보장해야 합니다.

from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)
app.config['WTF_CSRF_SECRET_KEY'] = 'your_csrf_secret_key'
csrf = CSRFProtect(app)

@app.route('/post', methods=['POST'])
@csrf.exempt    # CSRF 보호 예외 처리
def create_post():
    # 게시물 생성 로직
    pass

3. 데이터 검증과 쿼리 보호

사용자로부터 입력 받는 데이터에 대해서는 검증을 통해 적절한 형식과 길이를 확인해야 합니다. 또한, Flask SQLAlchemy나 다른 ORM을 사용해 데이터베이스에서 쿼리를 수행할 때는 SQL 주입 공격 등에 대비해 쿼리를 보호해야 합니다.

from flask_wtf import FlaskForm
from wtforms import StringField
from wtforms.validators import DataRequired, Length

class PostForm(FlaskForm):
    title = StringField('Title', validators=[DataRequired(), Length(max=100)])
    content = StringField('Content', validators=[DataRequired())

@app.route('/post/create', methods=['POST'])
def create_post():
    form = PostForm()
    if form.validate_on_submit():
        # 적절한 검증 후 생성 로직
        pass

4. 비밀번호 보안

사용자의 비밀번호는 안전하게 관리되어야 합니다. Flask 앱에서 비밀번호를 저장할 때에는 반드시 해싱을 해야 합니다. Python에서는 werkzeug.security 모듈의 generate_password_hash()check_password_hash() 함수를 통해 비밀번호를 해싱하고 검증할 수 있습니다.

from werkzeug.security import generate_password_hash, check_password_hash

password = 'mypassword'
hashed_password = generate_password_hash(password)

# 사용자 로그인 시 비밀번호 검증
if check_password_hash(hashed_password, provided_password):
    # 로그인 성공
    pass

5. HTTPS 사용

애플리케이션을 배포할 때 HTTPS를 사용하여 통신을 암호화해야 합니다. Flask에서 HTTPS를 사용하려면 웹 서버나 리버스 프록시를 사용하거나, Flask-SSLify와 같은 확장을 사용할 수 있습니다.

from flask_sslify import SSLify

app = Flask(__name__)
sslify = SSLify(app)

Flask에서의 보안 고려사항은 위와 같이 다양한 측면에 대한 대응을 필요로 합니다. 앱의 특징과 요구사항에 따라 추가적인 보안 조치도 필요할 수 있으니, 보다 자세한 내용은 Flask 공식 문서와 관련 리소스를 참고하시기 바랍니다.

*Flask: https://flask.palletsprojects.com/

© 2018 Colin. All rights reserved.