📘[Django] 사용자가 비밀번호를 잊어버렸을 때..

사용자가 비밀번호를 잊어버렸을 때..

사용자가 이메일을 잊어버리는 경우는 되게 많음.

여러가지 방법이 있을 수 있겠지만, 아래 두 방법이 보편적으로 사용되는 방법임.

• 패스워드 복원
• 패스워드 재발급

1. 패스워드 복원

우선, Django 에서 비밀번호를 저장하는 방식이 중요함.

Django의 make_password()는 데이터베이스에 비밀번호를 저장할 때, 단방향 해싱을 사용하기 때문에 입력받은 비밀번호를 복원하기 어려움..

단방향 해싱의 단점이라고 할 수 있겠지만, 반대로 보안적인 측면에서는 굉장한 장점이라고 생각함.

2. 패스워드 재발급

그러면 Django에서는 패스워드를 재발급하는 방법을 채택해야함.

보통 비밀번호를 어떻게 찾을까?

1. 로그인 → 비밀번호 까먹음 → 로그인 실패 → “비밀번호 찾기” → “이름”, “email” 등과 같이 2개 이상의 값을 입력 받아 유저 인증 → 인증되면 새로운 비밀번호 입력 화면으로 이동 → 새 비밀번호 입력(입력, 확인입력) → 비밀번호 생성 (기존 DB값을 이걸로 갱신)

   이메일 인증만 적용해야될듯

2. 로그인 → 비밀번호 까먹음 → 로그인 실패 → “비밀번호 재발급” → “이름”, “email” 등과 같이 2개 이상의 값을 입력 받아 유저 인증 → 인증되면 이메일로 새로운 비밀번호 생성해서 전송 → DB는 해당 비밀번호로 갱신 → 사용자 다시 로그인 → 마이페이지 가서 “비밀번호 변경” → 변경 완료하면 DB에서 다시 새로운 비밀번호로 갱신

위와 같이 두 개의 흐름으로 볼 수 있을 듯?

1번은 DB 작업이 1번, 2번은 DB 작업이 2번임.

1번의 장점

• DB 작업이 적음 (1번)
• 서버에서 새로운 비밀번호 생성 필요 없음

2번의 장점

• 새로운 비밀번호를 이메일로 전송하므로 사용자 확인 2번? (사실상 필요없음)
• 개인정보수정에서 “비밀번호 변경” 기능과 유사하므로, 코드 재사용 가능

1번이 좋지 않을까 싶음..

Django에서는 이런 기능 없나?

비밀번호 재설정 프로세스를 제공하고 있음.

1. 비밀번호 재설정 토큰 생성

• Django의 기본 auth 앱에서 제공하는 비밀번호 재설정 기능을 사용함
• PasswordResetView 및 PasswordResetConfirmView를 활용하면 사용자가 이메일을 통해 비밀번호를 재설정할 수 있음

from django.contrib.auth.views import PasswordResetView

urlpatterns = [
    path('password_reset/', PasswordResetView.as_view(), name='password_reset'),
]

2. 재설정 링크를 이메일로 전송

• send_mail()을 사용하면 됨

3. 관리자만 비밀번호 초기화

• 관리자가 사용자의 비밀번호를 직접 초기화

from django.contrib.auth.models import User

user = User.objects.get(username="example_user")
user.set_password("new_password")
user.save()

API 구상하기

1번 방식으로 진행하자.

이메일 인증만 사용해서!

1. [POST] api/send-password-reset-mail

• request

{
		"email": "AAA@BBB.com"
}

이메일 본문에 비밀번호 변경 화면 링크를 첨부

• response

{
		"status": "True", // or "False",
		"uuid": "{UUID}",
		"http_status": "200_OK" //  or "404_NOT_FOUND"
}

2. [POST] api/get-new-password/{uuid}

• request

{
		"email": "AAA@BBB.com",
		"password": "{PASSWORD}",
		"uuid": "{UUID}"
}

비밀번호는 프론트에서 입력 및 확인 진행

{
		"status": "True", // or "False"
		"http_status": "200_OK" // or "400_BAD_REQUEST"
}