django-oauth-toolkit(1.2.0) 单点登陆测试

已于 2023-12-29 08:14:42 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 杂货铺 文章标签: django python 后端
于 2023-05-26 20:28:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiafeitutu/article/details/130892517
版权

单点登陆的选择:

有三种方案:

  • CAS
  • Oauth
  • SAML

参考: CAS、Oauth2还是SAML,单点登录SSO方案该怎么选? - 知乎 (zhihu.com)

最流行的解决方案是 Oauth 基于授权码的方式,目前微信,钉钉都支持这种方式.

但是是Oauth2有一个风险,那就是第一步获取code的时候容易被拦截,而对于本地小程序 app_secret也有办法通过逆向工程获取到, 这样的话攻击方拿到code和app_secret就可以向服务器请求获取token,为了避免这种安全风险,在2015年, oauth2 发布了一个扩展协议PKCE 全称是 Proof Key for Code Exchange

关于PKCE,具体参考:

OAuth 2.0 扩展协议之 PKCE https://zhuanlan.zhihu.com/p/433472843

使用这个协议,要求provider和resource双方都要支持.

目前的情况是微信登陆是不支持的.其他的应用估计也不支持.

Django 作为Oauth Provider

主要使用了两个包:

  • django-oauth-toolkit
  • DjangoRestFramework

1 django-oauth-toolkit==2.2.0

最新版本:

文档:https://django-oauth-toolkit.readthedocs.io/en/latest/

支持OAuth 2.0 扩展协议之 PKCE 协议

参考资料 (30条消息) DjangoRestFramework 使用 django-oauth-toolkit 使网站成为 OAuth Provider(提供方)_PFFFei的博客-CSDN博客

2 django-oauth-toolkit==1.2.0

不支持OAuth 2.0 扩展协议之 PKCE 协议

应该可以使用国内大部分场景

这里我们用1.2.0作为演示,因为我发现微信的单点登陆接口也没有使用PKCE. 为了降低难度(偷懒),那就用1.2.0做演示吧.

一 创建工程auth2_provider,作为oauth2的认证中心

1 搭建环境

用pycharm创建好django工程auth2_provider,会自动安装最新版的django

(venv) PS D:\BaiduSyncdisk\7_浩信\django-oauth-toolkit12\djangoProject> pip show django            
Name: Django
Version: 4.2.1

这个版本跟django-oauth-toolkit1.2.0有冲突,我们换成3.2

(venv) PS D:\BaiduSyncdisk\7_浩信\django-oauth-toolkit12\oauth_provider> pip install -U django==3.2  
(venv) PS D:\BaiduSyncdisk\7_浩信\django-oauth-toolkit12\oauth_provider> pip show django
Name: Django
Version: 3.2

pip install django-oauth-toolkit==1.2.0
pip install djangorestframework

#创建users应用
python manage.py startapp users

在users/views.py 写入以下代码

# users/views.py
from django.contrib.auth.models import User
from oauth2_provider.contrib.rest_framework import TokenHasReadWriteScope
from rest_framework import generics, permissions, serializers


class UserSerializer(serializers.ModelSerializer):
    class Meta:
        model = User
        fields = ('username', 'email', "first_name", "last_name")


class UserList(generics.ListCreateAPIView):
    permission_classes = [permissions.IsAuthenticated, TokenHasReadWriteScope]
    queryset = User.objects.all()
    serializer_class = UserSerializer
    required_scopes = ['test']


class UserDetails(generics.RetrieveAPIView):
    permission_classes = [permissions.IsAuthenticated, TokenHasReadWriteScope]
    queryset = User.objects.all()
    serializer_class = UserSerializer
    required_scopes = ['test']


from oauth2_provider.signals import app_authorized


def handle_app_authorized(sender, request, token, **kwargs):
    print('App {} was authorized'.format(token.application.name))
app_authorized.connect(handle_app_authorized)

修改setting文件,增加下列内容

INSTALLED_APPS = [
	...
    'oauth2_provider',  # add
    'users',  # add
    'rest_framework',
]

LOGIN_URL = '/admin/login/'

# 即为可供资源拥有者(Django User)选择的 当第三方网站调用该网站资源时获取的权限范围。
OAUTH2_PROVIDER = {
    'SCOPES': {
        'read': 'Read scope',
        'write': 'Write scope',
        'test': 'test api',
        'music:write': 'Write music',
        'music': 'Test music',
    }
}

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'oauth2_provider.contrib.rest_framework.OAuth2Authentication',  # 使用OAuth登录认证
    )
}

修改路由url.py

urlpatterns = [
    path('admin/', admin.site.urls),
    path('auth/', include('oauth2_provider.urls', namespace='oauth2_provider')),
    path('users/', UserList.as_view()),  # add
    path('users/<pk>/', UserDetails.as_view()),  # add

]

数据迁移,创建超级用户

python manage.py makemigrations
python manage.py migrate       
python manage.py createsuperuser
admin/admin

打开http://127.0.0.1:8000/admin/ 可以正常登陆

这样环境就搭建好了.

2 创建第三方应用

打开下面这个网址
http://127.0.0.1:8000/auth/applications/register/
新建一个应用,唯一注意的是回调url,后面会用到这个地址.
在这里插入图片描述
在浏览器输入下面的地址:
http://127.0.0.1:8000/auth/authorize/?response_type=code&client_id=EwRJOQ26d4Q35VLgmpNQ1nfs8eubBGQMrlxMGABf&redirect_uri=http://127.0.0.1:8000/admin/
注意: redirect_uri 一定要和应用界面配置的redirect_uri 一模一样才行,这个地方我吃了很多次亏.

在这里插入图片描述
点击Authorize,页面会跳转到
http://127.0.0.1:8000/admin/?code=WETz1koClOXKSb595pLIxCwigxmBBP
成功获取到code,provider 告一段落.

二 配置第三方应用

创建工程oauth_resource

并且建立一个应用users

python .\manage.py startapp users

路由增加下面内容

path('users/auth_login/', AuthLogin.as_view()),  # add

INSTALLED_APPS = [
	...
    'users'
]

# Create your views here.
# users/views.py
from django.http import HttpResponse
import requests
from django.views import View


class AuthLogin(View):
    def get(self, request):
        code = request.GET.get('code')
        print('code:', code)
        # 第一步 provider回调这个地址传给code
        # 第二步 ,根据code 获取 token
        if code:
            url = 'http://127.0.0.1:8000/auth/token/'
            data = {
                'client_id': 'CpHhgwqdbWkThWIdJDeohqUoJw58iY9UD9zK4AZJ',
                'client_secret': 'O3CeOEe9w9Fb3Ko6DsWFezNsXeq7bW63Zzk3KFju2y84dNeSZmTkj5rXPk7nODykboiqZD0vzoYqiXvIArVok06Bn7rU8fzH1IzMIORD7FnOdRydVWsFmTwA1c4fbUMx',
                'code': code,
                #'redirect_uri': 'http://127.0.0.1:8001/users/getcode/',

                'grant_type': 'authorization_code',
            }
            headers = {
                'Content-Type': 'application/x-www-form-urlencoded',
            }
            res = requests.post(url, data=data, headers=headers)
            print('res:', res.json())

            # 第三步,根据token获取用户信息
            access_token = res.json().get('access_token')
            token_type = res.json().get('token_type')
            token_header = {
                'Authorization': '{} {}'.format(token_type, access_token)
            }
            res = requests.get('http://127.0.0.1:8000/users/1/', headers=token_header)
            print('res:', res.text)

            # 第四步,根据获取到的用户信息(openid)
            # 跟本系统用户做绑定,实现用户登陆
            # 略

            return HttpResponse(res.text)

数据迁移,创建超级用户

python manage.py makemigrations
python manage.py migrate       
python manage.py createsuperuser
admin2/admin2

打开http://127.0.0.1:8001/admin/ 可以正常登陆
这样环境就搭建好了.

三 单点登陆测试

1 先修改第三方应用的回调地址

path('users/auth_login/', AuthLogin.as_view()),  # add
根据这个路由,地址应该是
http://127.0.0.1:8001/users/auth_login/

在这里插入图片描述

开始测试:
打开浏览器,地址栏输入:
http://127.0.0.1:8000/auth/authorize/?response_type=code&client_id=EwRJOQ26d4Q35VLgmpNQ1nfs8eubBGQMrlxMGABf&redirect_uri=http://127.0.0.1:8001/users/auth_login/

在这里插入图片描述

点击Authorize
得到用户信息:

{"username":"admin","email":"156277468@qq.com","first_name":"","last_name":""}

这里可以返回一个openid,然后和第三方系统的用户做绑定. 直接登陆系统.

Odoo老赵
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
单点登录CAS测试
qq_40611260的博客
05-17 3577
知识点:SSO:单点登录(Single Sign On),是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS:耶鲁大学开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Server),他是一个开源的、相对比较简单易用的SSO解决方案。SSL(Secure S...
推荐开源项目:Django OAuth Toolkit - 实现安全API授权的利器
gitblog_00077的博客
04-18 400
推荐开源项目:Django OAuth Toolkit - 实现安全API授权的利器 项目地址:https://gitcode.com/evonove/django-oauth-toolkit 项目简介 Django OAuth Toolkit 是一个基于Django框架的OAuth2服务器实现。它允许开发者轻松地在自己的应用中添加OAuth2服务,为其他应用提供数据接口或功能访问权限,确保了AP...
多系统-单点登录测试
汪敏的博客
11-18 1335
单点登录
探索单点登录的未来:使用DjangoSAML2构建强大身份验证系统
最新发布
gitblog_00057的博客
05-28 247
探索单点登录的未来:使用DjangoSAML2构建强大身份验证系统 项目地址:https://gitcode.com/IdentityPython/djangosaml2 在当今数字化时代,安全与便捷性是每个web应用不可或缺的核心要素。对于那些寻求加强其Django应用安全性,并实现无缝的单点登录(SSO)体验的开发者而言,DjangoSAML2是一个值得深入了解和采用的开源宝藏。 项目介绍 D...
005-Django OAuth Toolkit 身份认证
sone 的博客
12-04 1241
Django OAuth Toolkit 身份认证1、最小化安装配置2、创建 API3、注册一个应用程序4、获取 token 并访问 API Django OAuth Toolkit + Django REST Framework 身份认证。 API 官方地址:https://django-oauth-toolkit.readthedocs.io/en/latest/rest-framework/...
Python库 | django-oauth-toolkit-0.3.2.tar.gz
03-02
python库。 资源全名:django-oauth-toolkit-0.3.2.tar.gz
单点登录(Single Sign On)
m0_61466807的博客
01-03 1537
概念:即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如 单点登陆系统解决方案设计 解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如 说明:在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库。后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.。 解决方案2:用户登陆
NC单点登录测试用例
04-01
NC单点登录测试用例: 使用http GET或者POST方式,向NC servlet提交如下信息
djangooauthtoolkitDjango用户准备的OAuth2
08-09
django-oauth-toolkit:为 Django 用户准备的 OAuth2
django-oauth-toolkit-jwt:django-oauth-toolkit扩展,添加了JWT支持
05-09
django-oauth-toolkit-jwt 这是django-oauth-toolkit的扩展,解决了。 JWT支持: 令牌请求。 令牌刷新。 不支持: 令牌撤销。安装添加到您的点子要求: git+...
django-oauth-toolkitDjangonauts的OAuth2好东西!
02-05
"django-oauth-toolkit" 是一个基于 Django 框架的 OAuth2 库,由 Djangonauts 社区开发。标题强调了这个库是 "好东西",暗示它在实现 OAuth2 认证和授权流程方面非常实用且功能强大。 **描述分析:** 描述与标题...
适用于Djangonauts的OAuth2好东西!-Python开发
05-25
适用于Djangonauts的Django OAuth工具包OAuth2好东西! 如果您面临以下一个或多个问题:您的Django应用程序公开了您要使用OAuth2身份验证保护的Web API,则需要Django OAuth工具包Djangonauts的OAuth2好东西! 如果您面临以下一个或多个问题:您的Django应用公开了您要通过OAuth2身份验证保护的Web API,您需要实现OAuth2授权服务器来为基础架构提供令牌管理,Django OAuth Toolkit可以帮助您提供框中的所有端点,数据和逻辑,这些端点都需要将OAuth2功能添加到Django项目中。 Django OAuth Toolkit广泛使用
Python-Authlib是一个实现OAuth1OAuth2身份验证的客户端和服务端
08-11
Authlib 是一个实现OAuth 1、OAuth 2身份验证的客户端和服务端
Django集成CAS单点登录的方法示例
12-31
CAS 全称集中式认证服务(Central Authentication Service),是实现单点登录(SSO)的一中手段。 CAS 的通讯流程图如下(图片来自Google图库): 对于本文用户可感知的层面,认证过程如下: 前端访问后端登录接口 后端返回重定向到 CAS 服务器的登录页面,并携带当前用户访问的网页链接 用户登录,浏览器发送请求到 CAS 服务器进行认证 CAS 认证通过,将本次登录保存到会话,返回回调地址给后端 后端返回重定向请求给前端 前端重定向到跳转登录前的页面 中间涉及到的 TGT 处理逻辑已经由开源 CAS Client(python-c
django-mama-cas, Django 中央身份验证服务( CAS ) 单点登录(Single Sign-On) 服务器.zip
09-18
django-mama-cas, Django 中央身份验证服务( CAS ) 单点登录(Single Sign-On) 服务器 MamaCAS MamaCAS是 Django 中央认证服务( CAS ) 单一登录和单一注销服务器。 它实现了 CAS 1.0.2.0和 3.0协议,包括一些可选的特性。是单一登录和单一注销网络协议,允许用户在提供凭据后访问多个
PyPI 官网下载 | django-experiments-hw-1.2.0.tar.gz
01-27
本文将深入探讨从PyPI官网下载的"django-experiments-hw-1.2.0.tar.gz"这个资源,揭示其中蕴含的开发知识点,主要涉及Django框架、Python编程、后端开发以及Python库的使用。 首先,"django-experiments-hw-1.2.0....
PyPI 官网下载 | django-sms-gateway-1.2.0.tar.gz
02-10
《PyPI官网下载:django-sms-gateway-1.2.0.tar.gz——Django集成短信网关的深度解析》 在Python的世界里,Django框架以其高效、易用和全面的功能深受开发者喜爱。而“django-sms-gateway”正是这样一个针对Django...
PyPI 官网下载 | django-customer-billing-1.2.0.tar.gz
01-27
《PyPI官网下载:django-customer-billing-1.2.0.tar.gz——Django顾客账单处理详解》 在Python的世界里,Django作为一款强大的Web开发框架,深受开发者们的喜爱。它提供了丰富的功能,使得后端开发变得更加高效且...
单点登陆测试
weixin_30588907的博客
09-04 1127
今天做了个单点登陆 。 但是怎么测试呢? 下面请看详解: 源码中是这样的: /** * 单点登录改造 * * @param request * @param response * @return * @throws IOException * @throws HttpException ...
django-simple-sso实现单点登录
05-12
Django-simple-sso是一个用于Django应用程序的单点登录(SSO)解决方案。它允许用户通过一个统一的登录页面,使用一个凭证登录多个Django应用程序,从而实现单点登录。 下面是使用django-simple-sso实现单点登录的步骤: 1. 安装django-simple-sso:使用pip安装django-simple-sso。 ``` pip install django-simple-sso ``` 2. 配置Django应用程序:在settings.py文件中添加django-simple-sso的配置。 ``` INSTALLED_APPS = ( ... 'simplesso', ... ) MIDDLEWARE = [ ... 'simplesso.middleware.SSOAuthMiddleware', ... ] SIMPLESSO_SERVER_URL = 'http://your-sso-server-url.com' SIMPLESSO_SERVER_TOKEN = 'your-sso-server-token' ``` 3. 配置SSO服务器:在SSO服务器上创建一个应用程序,并将其添加到Django应用程序列表中。 4. 在Django应用程序中使用SSO:在视图函数中使用simplesso.decorators.sso_required装饰器,以确保用户已经通过SSO登录。 ``` from simplesso.decorators import sso_required @sso_required def my_view(request): # Your code here ``` 完成以上步骤后,用户可以在一个Django应用程序中登录,然后在其他Django应用程序中访问受保护的页面,而无需再次登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值