FastAPI 실전편(1강) - FastAPI로 웹 서버를 만들고 싶다면?

FastAPI로 간단한 CRUD 웹 서버 만들기

FastAPI로 웹 서버를 처음 만들 때는 너무 많은 기능을 한 번에 넣지 않는 게 좋아요. 강의에서는 가장 기본이 되는 CRUD(Create, Read, Update, Delete) 기능을 먼저 간단히 구현합니다. 예를 들어 사용자 게시글을 등록하고, 조회하고, 수정·삭제하는 엔드포인트만 최소한으로 구성해요.

이렇게 하는 이유는 인증 시스템을 붙일 때 기반이 되는 코드가 복잡하지 않아야 나중에 수정하기 쉽기 때문이에요. FastAPI는 Pydantic 모델 하나로 요청·응답 스키마를 명확하게 정의할 수 있어서 초보자도 금방 구조를 파악할 수 있죠. 실제로 강의에서는 SQLAlchemy를 사용해 간단한 테이블을 만들고, 라우터를 분리하는 방식으로 코드를 정리합니다.

비교해 보면 Flask로 같은 작업을 할 때보다 FastAPI가 타입 힌트와 자동 문서화 덕분에 코드 가독성이 훨씬 높아요. 바로 실행해 볼 수 있는 팁은, uvicorn으로 서버를 띄운 뒤 Swagger UI(/docs)에서 CRUD가 정상 동작하는지 먼저 확인하는 거예요. 이렇게 기반 서버를 완성한 뒤에야 JWT 인증을 안전하게 붙일 수 있습니다.

JWT로 토큰 기반 인증 시스템 설계하기

JWT를 사용하는 가장 큰 장점은 서버가 세션을 저장하지 않아도 된다는 점이에요. 사용자가 로그인하면 access token과 refresh token을 발급하고, 클라이언트가 이 토큰을 헤더에 담아 요청을 보내면 서버는 토큰만 검증하면 됩니다. FastAPI에서는 python-jose나 PyJWT 라이브러리를 사용해 토큰을 생성·검증하는 함수를 따로 만들어 관리해요.

강의에서는 왜 access token과 refresh token을 함께 쓰는지 자세히 설명합니다. access token은 수명이 짧게(15분 정도), refresh token은 길게(7일) 설정해서 보안을 강화하는 방식이죠. 실제 예시로 로그인 라우터에서 두 토큰을 동시에 발급하고, refresh token으로 access token을 재발급하는 엔드포인트까지 구현합니다.

주의할 점은 토큰에 민감한 정보를 넣지 않는 거예요. payload에는 user_id 정도만 담고, 나머지 정보는 DB에서 조회하는 방식이 안전합니다. FastAPI 의존성 주입을 활용하면 각 라우터에서 현재 로그인한 사용자를 쉽게 가져올 수 있어요. 이 구조를 이해하면 나중에 소셜 로그인이나 2단계 인증 같은 요구사항이 생겨도 쉽게 확장할 수 있습니다.

Redis를 활용한 토큰 저장 및 실전 팁

JWT만 사용하면 refresh token을 탈취당했을 때 대처하기 어려워요. 그래서 강의에서는 Redis를 사용해 refresh token을 서버에서 관리합니다. Redis에 토큰을 저장하면 로그아웃 시 해당 토큰을 즉시 무효화할 수 있고, 여러 기기에서 로그인한 경우에도 유연하게 처리할 수 있죠.

실전에서는 Redis에 user_id를 key로 하고, refresh token을 value로 저장하는 방식을 추천해요. 만료 시간을 refresh token과 동일하게 설정하면 자동으로 오래된 토큰이 사라집니다. FastAPI에서는 aioredis나 redis-py를 사용해 비동기 처리까지 고려하면 더 효율적이에요.

비교하자면 DB에 토큰을 저장하는 방식보다 Redis가 훨씬 빠르고, 서버 재시작 시에도 데이터가 유지됩니다. 바로 실천할 수 있는 팁은, refresh token을 재발급할 때마다 Redis의 기존 토큰을 삭제하고 새 토큰을 저장하는 로직을 넣는 거예요. 이렇게 하면 한 번에 한 기기만 로그인할 수 있게 제한하거나, 필요에 따라 여러 기기를 허용하는 등 유연하게 대응할 수 있습니다.