인증(OAuth2/JWT)을 어떻게 구현합니까?

Question

Accepted Answer

FastAPI는 인증을 구현하기 위한 내장 도구(`OAuth2PasswordBearer`, 보안 유틸리티)를 제공하며, 흔히 **OAuth2 password flow와 JWT 토큰**을 사용합니다. 이 패턴은 토큰 발급(로그인)과, 보호된 라우트에서 토큰을 검증하는 의존성을 결합합니다.

## 비밀번호 해싱과 로그인 시 JWT 발급

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # 안전한 비밀번호 해싱

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # 상수 시간 검사
        raise HTTPException(401, "Invalid credentials")
    # 사용자 신원 + 만료를 담은 서명된 JWT 발급
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

비밀번호는 **해싱**됩니다(bcrypt) — 절대 평문으로 저장하지 않습니다. 유효한 로그인 시 **JWT**가 발급됩니다: 사용자의 신원과 만료를 담은 서명된 토큰입니다.

## 보호된 라우트에서 토큰 검증 (의존성)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # Bearer 토큰을 추출

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # 서명 + 만료 검증
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # 보호됨 — 유효한 토큰 필요
    return user
```

`get_current_user` 의존성은 JWT를 추출하고 **검증**하며(서명 + 만료), 사용자를 로드하여 보호된 엔드포인트에 주입됩니다. 이에 의존하는 모든 라우트는 인증을 요구합니다.

## 인가(authorization) (역할/스코프)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # 인가 검사
    return user
# OAuth2 SCOPES는 세밀한 권한 제어를 제공합니다
```

## 왜 중요한가

인증은 필수적이며 **보안에 핵심적**입니다. 거의 모든 실제 API가 라우트를 보호해야 하며, 인증을 잘못하면 심각한 취약점이 생깁니다.

FastAPI의 접근 방식을 이해하는 것이 중요합니다: 표준 **OAuth2-password-flow-with-JWT** 패턴을 위한 구성 요소(`OAuth2PasswordBearer`, 보안 유틸리티)를 제공하며, 이는 FastAPI의 강점을 우아하게 활용합니다 — 로그인 엔드포인트가 서명된 토큰을 발급하고, **`get_current_user` 의존성**이 이를 검증하여, 그에 의존하는 모든 라우트를 깔끔하게 보호합니다(관용적인 FastAPI 인증 패턴).

올바르게 처리해야 할 몇 가지가 핵심입니다: **비밀번호 해싱**(bcrypt, 절대 평문 아님, 상수 시간 검증과 함께), **JWT의 올바른 서명 및 검증**(서명 + 만료 validation), **인증**(누구인가)과 **인가**(무엇을 할 수 있는가, 역할/스코프 검사를 통해)의 구분, 그리고 비밀 키를 안전하게 보관하는 것.

이 패턴을 안전하게 구현하는 방법—토큰 발급, 검증 의존성, 인가—을 아는 것은 안전한 FastAPI 애플리케이션을 구축하기 위한 근본적인 시니어 수준 지식입니다. 인증은 어디에나 있고 잘못 구현하면 위험한 실수의 빈번한 원천이기 때문입니다.