[python] Tornado에서 인증과 권한 관리하기

01 Dec 2023

python

Tornado는 파이썬으로 작성된 비동기 웹 프레임워크로, 웹 애플리케이션을 개발하기 위한 강력한 도구입니다. 이번 글에서는 Tornado에서 인증과 권한 관리를 어떻게 구현하는지 알아보겠습니다.

사용자 인증 구현하기

사용자 인증은 웹 애플리케이션에서 가장 기본적이고 중요한 부분입니다. 사용자가 로그인하고 자신의 데이터에 접근하거나 특정 기능을 사용하기 위해서는 인증이 필요합니다.

Tornado에서 사용자 인증을 구현하기 위해서는 다음과 같은 단계를 따를 수 있습니다:

사용자 입력을 받아서 로그인 폼을 구성합니다.
입력 받은 사용자 정보를 검증하여 올바른 인증 정보인지 확인합니다.
인증에 성공한 경우, 사용자 정보를 세션에 저장하고 접근 권한을 부여합니다.
인증에 실패한 경우, 적절한 오류 처리를 합니다.

다음은 Tornado에서 사용자 인증을 구현하는 예제 코드입니다:

import tornado.web
import tornado.ioloop
import tornado.escape

class AuthHandler(tornado.web.RequestHandler):
    def get(self):
        self.render("login.html")

    def post(self):
        username = self.get_body_argument("username")
        password = self.get_body_argument("password")

        # 사용자 정보를 검증하는 로직 작성
        if username == "admin" and password == "password":
            self.set_secure_cookie("user", tornado.escape.xhtml_escape(username))
            self.redirect("/")
        else:
            self.write("Invalid username or password")

class MainHandler(tornado.web.RequestHandler):
    @tornado.web.authenticated
    def get(self):
        username = tornado.escape.xhtml_escape(self.current_user)
        self.write(f"Welcome, {username}")

if __name__ == "__main__":
    app = tornado.web.Application([
        (r"/", MainHandler),
        (r"/login", AuthHandler),
    ], cookie_secret="YOUR_SECRET_KEY")
    app.listen(8888)
    tornado.ioloop.IOLoop.current().start()

위의 코드에서 AuthHandler 클래스는 사용자의 로그인 폼을 보여주고, 입력 받은 정보를 검증하여 인증을 처리합니다. 인증에 성공하면 set_secure_cookie 함수를 통해 사용자 정보를 세션에 저장하고, redirect 함수를 통해 메인 페이지로 이동합니다.

MainHandler 클래스는 세션에 사용자 정보가 있는 경우에만 접근이 허용되도록 @tornado.web.authenticated 데코레이터를 사용하여 권한을 관리합니다.

권한 관리하기

사용자 인증 이후에는 각 사용자에게 적절한 권한을 부여해야 합니다. Tornado에서는 권한 관리를 위해 다양한 방식을 제공하고 있습니다. 예를 들어, @tornado.web.authenticated 데코레이터를 사용하여 특정 핸들러에서 인증된 사용자만 접근할 수 있도록 설정할 수 있습니다.

또한, tornado.web.RequestHandler 클래스를 상속받아 사용자 정의 핸들러를 구현하여 세부적인 권한 체크를 할 수도 있습니다.

class AdminHandler(tornado.web.RequestHandler):
    @tornado.web.authenticated
    def get(self):
        if self.current_user == "admin":
            self.write("Welcome, admin")
        else:
            self.write("You don't have permission to access this page")

위의 예제 코드는 AdminHandler 클래스에서 로그인한 사용자의 이름이 “admin”인 경우에만 접근이 허용되도록 구현한 것입니다.

참고 자료

Tornado 공식 문서: https://www.tornadoweb.org/
Tornado 예제 코드: https://github.com/tornadoweb/tornado/tree/stable/demos

이 글에서는 Tornado에서 사용자 인증과 권한 관리를 어떻게 구현하는지에 대해 알아보았습니다. 사용자 인증은 웹 애플리케이션의 보안을 위해 반드시 구현해야 하는 중요한 요소이므로, 실제 프로젝트에서는 더 강력한 보안 체계를 구축해야 합니다.