基于flask-oidc的OIDC协议授权码模式单点登录SSO实现

最新推荐文章于 2024-05-04 01:04:27 发布
最新推荐文章于 2024-05-04 01:04:27 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: Python 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42482078/article/details/131557498
版权

文章目录

关于SSO单点登录、OIDC协议、授权码模式等相关概念详见基于OIDC的SSO单点登录文章内容

安装flask-oidc

pip install flask-oidc

flask-oidc实现OIDC的授权码模式流程

  • 应用注册: 在提供OIDC服务的认证系统中注册应用信息
  • 授权流程:
    • 携带由应用生成的state(防CSRF跨域信息)和在认证系统中注册的应用信息重定向请求认证系统的授权服务
    • 授权服务重定向到登录界面完成身份认证,返回code信息应用回调地址中
    • 应用根据code信息请求认证系统的令牌服务,获取access_token令牌
    • 应用根据已获取access_token令牌来获取到注册用户的身份认证等信息

代码实现

依赖库安装

pip instal flask-oidc2

flask-oidc认证配置

  • 添加oidc_client_secrets.json文件
    • oidc_client_secrets.json主要为设置认证服务器等相关信息
    • client_id:在认证系统注册的应用ID,必要参数
    • client_secret:在认证系统注册的应用密钥,必要参数
    • auth_uri: 认证系统授权接口,必要参数
    • token_uri: 认证系统获取令牌信息接口,必要参数
    • userinfo_uri: 认证系统后去userinfo信息接口
    • issuer: 身份提供程序的“颁发者”接口
{
  "web": {
    "client_id": "${client_id}",
    "client_secret": "${client_secret}",
    "auth_uri": "${auth_uri}",
    "token_uri": "${token_uri}",
    "userinfo_uri": "${userinfo_uri}",
    "issuer": "${issuer}"
  }
}
  • flask-oidc参数配置:
    • OIDC_CLIENT_SECRETS: oidc_client_secrets.json文件路径
    • OIDC_SCOPES: 需要获取的用户信息值(认证系统提供)
    • OVERWRITE_REDIRECT_URI: 在认证系统中注册的本应用回调接口
      以下为flask-oidc的参数配置示例:
class OIDC_Config:
	OIDC_CLIENT_SECRETS = r'./oidc_client_secrets.json'
	OIDC_SCOPES = ['openid', 'email', 'profile']
	OVERWRITE_REDIRECT_URI = "${your_domain}/api/sso"
  • flask-oidc初始化
# flask导入参数
app.config.from_object(OIDC_Config)

# flask-oidc获取flask关于OIDC的相关参数配置
from flask_oidc import OpenIDConnect

oidc = OpenIDConnect()
oidc.init_app(app)

获取授权码

flask-oidck库实现的require_login装饰器可以根据当前的参数信息,自动前往配置的${auth_uri}请求授权。require_login装饰器会自动生成state携带应用信息作为参数请求${auth_uri}。当${auth_uri}的返回类型response_type类型为id_token时完成授权认证操作。认证服务器执行完后,返回应用系统回调地址。

@oidc.require_login
@app.route('/api/sso')
def sso_login():
	return 'SSO Login'

兑换token令牌

在授权码模式下,调用require_login装饰器,认证系统会返回防止跨域的state信息和授权码code。授权码code作为中间参数,并不携带我们希望获得的用户信息,无法完成登录操作。flask-oidc无法自动根据code获取toekn,所以我们需要手动发起请求获取token令牌。

其中,请求参数应设置为"Content-Type": "application/x-www-form-urlencoded",并且对参数使用urlencode()方法进行编码,否则认证系统可能无法识别参数信息。

import json
import requests
from urllib.parse import urlencode

@oidc.require_login
@app.route('/api/sso')
def sso_login(code, state):
	logger.info(f"SSO Login: code: {code}, state: {state}")

	# 使用code向授权服务器发送请求换取token
    headers = {
    	"Accept": "*/*",
    	"Content-Type": "application/x-www-form-urlencoded"
    }

    payload = urlencode({
    	"client_id": oidc.flow.client_id,
    	"client_secret": oidc.flow.client_secret,
    	"grant_type": "authorization_code",
    	"redirect_uri": current_app.config['OVERWRITE_REDIRECT_URI'],
    	"code": code
    })

	# 获取授权token
    token_response = json.loads(requests.request("POST", oidc.flow.token_uri, headers=headers, data=payload).text)

	# 登录
    oidc.set_cookie_id_token(token_response['id_token'])
    # 获取username
    username = oidc.user_getfield('email', access_token=token_response['access_token']).split('@')[0]
    logger.info(f'sso login, username: {username}')
	return 'SSO Login'
北溪入江流
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
flask-oidc:Flask 的 OpenID Connect 支持
05-31
烧瓶-oidc 对支持。 此库应与任何符合标准的 OpenID Connect 提供程序一起使用。 它已经过测试: 项目状态 该项目正在积极开发中。
sso-dashboard:SSO仪表板的python flask实现OIDC用于身份验证,消息总线用于警报管道
05-14
Mozilla-IAM单一登录仪表板 SSO仪表板的python flask实现OIDC用于身份验证,消息总线用于警报管道。 上面是今天存在的仪表板原型。 屏幕截图将随着仪表板UI的发展而更新。 贡献者 安德鲁·克鲁格[:andrew] 该项目使用的项目 烧瓶 雷迪斯 金佳 烧瓶上证所 独角兽 MUI-CSS框架 头工人 特征 服务器端事件安全警报 控制用户看到的应用程序 用户个人资料编辑器 全球安全警报 IHaveBeenPwned集成 用户警报确认/升级 认证流程 所有身份验证均对auth0执行。 由于应用程序的性质,仅在“扩展配置文件”完成之前,这将仅限于Mozilla LDAP登录。 授权流程 这个应用程式在技术上不提供授权。 但是,它确实使用规则语法检查文件,以确定用户仪表板中应包含哪些应用程序。 规则文件存在于dashboard / data / apps.yml中。
Python库 | flask-oidc-ext-1.4.3.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:flask-oidc-ext-1.4.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
如何通过 OIDC 协议实现单点登录
Authing 身份云
03-27 4955
什么是单点登录 我们通过一个例子来说明,假设有一所大学,内部有两个系统,一个是邮箱系统,一个是课表查询系统。现在想实现这样的效果:在邮箱系统中登录一遍,然后此时进入课表系统的网站,无需再次登录,课表网站系统直接跳转到个人课表页面,反之亦然。比较专业的定义如下: 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中...
Flask项目实战——6—(前台用户模型、前台登录注册、图形验证、手机短信验证、添加表单验证短信验证请求)
weixin_42118531的博客
05-23 6427
1、前台用户模型 前台用户模型定义 创建前台模型文件 apps/front/models.py # -*- encoding: utf-8 -*- """ @File : models.py @Time : 2020/5/11 10:00 @Author : chen 前台模型文件 apps/front/models.py """ # 前台管理的模型 from exts import db # 数据库连接 import shortuuid
如何使用 OneAuth 向 Flask 应用添加用户身份验证实现SSO
OneAuth身份云
12-24 612
FLask如何快速集成Oauth2.0,通过OneAuth实现SSO
基于OIDCSSO单点登录
focus:Follow One Cause Until Success
07-05 1822
SSO单点登录:是指用户的一次性鉴权登录。即用户在身份验证服务器服务器登录一次后,在身份验证服务器的注册服务中即可自动完成登录验证的功能。简单来说,就是在有多个系统时,只需要登录一次,其他服务即可自动感知获取到用户的登录状态。单点登录的主要核心是身份验证服务器。在身份验证服务器中注册了用户的具体信息和可信应用。在其他服务获取登录状态时,是通过相关协议直接访问身份验证服务器获取用户的登录状态和身份完成登录的授权操作的。
vue项目使用oidc-client实现单点登陆
qq_43340606的博客
07-06 4267
1. 安装oidc-client 2. 单点登录所需配置项:oidc.js 3. 我们需要在路由钩子页面增加判断,如果没有token,则重定向到服务器进行单点登录 这个是我自己的项目这样用router钩子来判断权限,如果你们没有用到也没关系,忽略掉router,直接执行else中的内容,如果没有token,页面会跳转到服务器进行登录3、下面是登录完成后会回到我们系统中的操作 4、执行回调后,跳转到home页面(系统首页),至此整体流程结束。 源地址: https://git
单点登录系统对比 - 协议介绍及 cas、keyclock、authz、authing等的对比
yfx000的专栏
08-01 2053
用户中心系统作为服务端,肯定是要跟客户端进行对接来授权&获取用户信息的。目前大致流行的有 LDAP、CAS、OIDC(基于 Oauth2.0)、SAML 等,此外还有 Kerberos 等不太常见的协议。其宗旨基本一致:浏览器向客户端发起请求,客户端访问用户系统获取 Cookie 或其他认证条件,由用户系统负责登录并将认证后的条件返回给客户端。.........
编程语言如何基于Security实现OIDC单点登录
09-30 253
编程语言如何基于Security实现OIDC单点登录? mark 一、说明 本文主要是给大家介绍OIDC的核心概念以及如何通过对Spring Security的授权模式进行扩展来实现 OIDC单点登录OIDC是 OpenID Connect 的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于 OAuth2 协议的身份认证标准协议。我们都知道 OAuth2 是一个授权协议,它无法提供完善的...
Python使用LDAP做用户认证的方法
09-19
主要介绍了Python使用LDAP做用户认证的方法,文中通过示例代介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python库 | flask-oidc-ex-0.2.0.tar.gz
03-07
python库。 资源全名:flask-oidc-ex-0.2.0.tar.gz
fab-oidc:适用于OpenIDConnect的Flask-AppBuilder SecurityManager
05-28
适用于OpenIDConnect的Flask-AppBuilder SecurityManager 包装,公开了可与任何Flask-AppBuilder应用一起使用的SecurityManager 。 它将允许您的用户使用OpenIDConnect提供程序(例如Auth0,Okta或Google Apps)...
Python-flask-微信网页授权实现登录.zip
09-26
python flask 框架对接微信登陆网页端的功能,文件中包含代实现思路等。
Flask项目实战——7—(Redis数据库存储验证信息、验证登录界面的表单信息、注册功能实现、登录实现)
weixin_42118531的博客
05-26 3623
推荐一个API平台:聚合数据 1、Redis数据库存储验证信息 保存手机验证到Redis数据库 公有视图文件:apps/common/views.py # -*- encoding: utf-8 -*- """ @File : views.py @Time : 2020/5/11 9:59 @Author : chen 视图文件:apps/common/views.py """ # 导入手机验证生成文件 from utils.send_telephone_msg import send_
python turtle代示例-Python turtle.left方法代示例
weixin_39673184的博客
11-11 2628
本文整理汇总了Python中turtle.left方法的典型用法代示例。如果您正苦于以下问题:Python turtle.left方法的具体用法?Python turtle.left怎么用?Python turtle.left使用的例子?那么恭喜您, 这里精选的方法代示例或许可以为您提供帮助。您也可以进一步了解该方法所在模块turtle的用法示例。在下文中一共展示了turtle.left方法的...
OIDC认证+授权
qq_38644495的博客
04-13 5168
五分钟理解什么是 OIDC (OpenID Connect) 什么是 OIDCOIDC 的全称是 OpenID Connect,是一套基于 OAuth 2.0 的认证 + 授权协议,用于用户身份认证,将用户数据安全地暴露给第三方。 OIDC 与 OAuth 2.0 有何不同? OAuth 2.0 是用于授权的行业标准协议。OAuth 2.0 致力于简化客户端开发人员的工作,同时为 Web 应用程序,桌面应用程序,移动电话和物联网设备提供特定的授权流程。 以上是 OAuth 2.0 的官方定义。我们举一
DataEase单点登录OIDC
XiaoBei_BI的博客
12-30 453
OIDC(OpenID Connect)是一个身份认证协议,它规定了一套把用户身份信息从授权服务器(身份提供方)传递给客户机应用(身份使用方)的标准流程、格式。
Flask 系统教程 5】视图进阶
最新发布
PengXing_Huang的博客
05-04 880
详细介绍了一些Flask中的进阶视图用法, 包括类视图、装饰器、蓝图等等。
Flask-Login Flask-Security 登录与权限控制
06-06
Flask-Login和Flask-Security都是Flask框架中常用的用于用户登录和权限控制的扩展库。 Flask-Login可以帮助开发者方便地实现用户登录功能,包括用户会话管理、认证和登录验证等。Flask-Login的主要功能是提供一个UserMixin类,开发者只需要继承这个类,实现其中的方法,就可以快速地实现用户认证和登录验证功能。 Flask-Security则是在Flask-Login的基础上对用户权限控制进行了扩展。它提供了一些常用的安全功能,如密加密、用户注册、重置密、邮箱确认等。同时,它也是一个可扩展的权限控制框架,可以方便地实现自定义的角色、权限等。 在使用Flask-Security时,需要先安装Flask-Login并在应用中进行初始化。然后,通过Flask-Security提供的装饰器和方法来实现权限控制。例如,通过@login_required装饰器来限制只有登录用户才能访问某些页面;通过@roles_required装饰器来限制只有特定角色的用户才能访问某些页面。 总之,Flask-Login和Flask-Security可以帮助开发者方便地实现用户登录和权限控制功能,提高Web应用的安全性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北溪入江流

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值