如何使用 OneAuth 向 Flask 应用添加用户身份验证实现SSO

于 2021-12-24 11:26:53 发布
阅读量741 收藏 1
点赞数
分类专栏: IDaaS 文章标签: flask python 后端 oauth2 sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39884933/article/details/122124118
版权
本文介绍了如何使用OneAuth的OAuth2服务在Flask应用中添加用户身份验证,实现单点登录(SSO)。通过创建Flask应用、注册OneAuth开发者账户、配置应用和保护URI,详细展示了SSO的集成过程。
摘要由CSDN通过智能技术生成

如何使用 OneAuth 向 Flask 应用添加用户身份验证

用户身份验证是 Web 应用程序中的一项基本功能,因此人们可以创建和访问自己的帐户,但不幸的是,身份验证并不总是很容易设置,可能经常错误地实现登录和注销功能。本教程将介绍如何使用 OneAuth 的统一身份验证服务,对多达 1,000 个活动用户帐户免费使用,它能让我们在 Flask 应用中轻松处理用户数据。

文章目录

准备工作

本教程使用了 Python3.x 版本构建程序,所以请留意各项依赖包的版本。

  • Flask
  • Flask-OIDC
  • OneAuth SDK
  • 一个免费的 OneAuth 账户

本教程代码将放置在 Github 仓库,基于MIT协议,可以免费/商业使用。

安装依赖

首先我们使用 venv 创建一个干净的开发环境,并激活该环境

python3 -m venv flaskOneAuth
source ./flaskOneAuth/bin/activate

接下来利用 pip 安装所需的依赖

pip install flask>=2.0.2 flask-oidc>=1.4.0

安装成功后,我们安装了所需的 Flask 和 OneAuth 依赖项,让我们开始构建 Flask 应用

创建一个 Flask 应用

我们创建一个名字为 flaskapp 的项目目录,然后创建一个名为 app.py 的文件,包含下面的代码

# imports for Flask
from flask import Flask, Response

app = Flask(__name__)

@app.route("/protectme")
def protect_me():
    return Response("I should be protected!")

@app.route("/")
def landing_page():
    return Response("I am open for any visitors")

接下来我们可以使用以下命令运行这个 Flask 应用程序

set FLASK_APP=app.py
flask run

在 Web 浏览器中访问 http://localhost:5000,您应该看到
在这里插入图片描述

现在转到 http://localhost:5000/protectme 看看。这个页面应该需要身份验证才能访问,但现在它似乎没有任何保护
在这里插入图片描述

但可以确定的是,我们的基础应用已启动并运行,下面让我们为它增加身份验证功能

创建 OneAuth 开发者账户

访问打开注册页面

在这里插入图片描述

输入表单信息后提交,会提示输入验证码,以确保你没有输错Email地址。此时需要查收你的Email,找到类似的邮件

在这里插入图片描述

然后继续输入你接受到的验证码后,会提示创建成功,再回到你的邮箱,查看用户激活邮件

在这里插入图片描述

点击激活,会提示设置管理员密码。设置好之后,用你的Email登录。会看到管理员面板

在这里插入图片描述

可以看到浏览器地址栏标记黄色的部分,就是你的租户地址了,不仅仅可以通过这个地址访问到管理面板,而且后续我们会用到这个地址配置协议参数。

连接应用到 OneAuth

我们接下来要在 OneAuth 上创建一个应用。我们选择左侧菜单的【应用】然后在面板右侧点击【创建应用】

我们会看到创建应用的弹出框:

在这里插入图片描述

我们在这里认证方式选择 OIDC,应用类型选择 Web 应用,点击下一步:

在这里插入图片描述

我们创建一个应用名为 flaskapp 的应用,将 http://localhost:5000/oidc/callback 作为登录重定向的地址。

接下来,我们会看到创建好的应用信息(请留意黄色标记部分):

最低0.47元/天 解锁文章
OneAuth
关注
专栏目录
博客
OneAuth 2022.11.23版本更新内容
11-25 503
通 OpenLDAP 协议可读取 OneAuth 中的用户组以及其中的成员。通过自定义Scope 和 Claims 进行 API 和数据的详细访问授权。在部分情况下,当策略和规则引用了位置和网络时无法正确命中策略和规则的问题。适应了更多 Web 网站的通过 GWA 身份认证方法的登录。同步飞书:OneAuth 可以同步飞书中的组织架构和用户。支持通过自定义属性和映射,获取北森中用户的自定义属性。
博客
如何基于钉钉通讯录生成LDAP服务
11-14 1535
如何通过钉钉目录 生成 LDAP服务,让企业运维LDAP更简单
博客
JumpServer 如何配置LDAP服务
11-14 1501
基于云的LDAP服务,快速配置JumpServer LDAP认证
博客
员工如何通过自助方式重置AD密码
11-14 1511
员工忘记AD密码,无法自助重置,通过OneAuth的 AD Agent 能够帮助企业轻松管理AD账号问题。
博客
IDaaS身份管理之属性映射和表达式
11-08 364
IDaaS身份体系建设可以高效管理用户,通过提供身份智能快发现和修正用户权限,避免遗漏。通过身份管理,能够增加企业对于
博客
用酒店门卡思路来深度理解OAuth2.0的工作原理
08-25 424
OAuth 2.0访问令牌和酒店房卡有什么共同点?酒店房卡与OAuth2.0 访问令牌是很相似的。 首先我们来用酒店的7个场景来更好的理解这个问题。01用酒店的7个场景类比这个问题 01前台验证即可获得房卡(验证身份获取Token)在酒店前台办理入住手续,出示您的身份证,您会得到一张房卡,您可以使用它进入您的酒店房间。在 OAuth 中,应用程序将用户发送到他们进行身份验证的 OAuth 服务器(类似于在前台出示身份证),然后 OAuth2.0 服务器将向应用程序发出访问令牌(Token)。02任何可以
博客
使用网络位置限制,保护公司数据安全
08-25 336
IP 限制策略通常是一组组合,例如定义的 IP 范围或单个 IP 地址和时间,因此 IP 限制解决方案允许管理员或组织所有者将单个用户限制为一个或多个预定义的 IP 地址。因此,启用 IP 限制可确保您的重要数据无法在不安全的公共场所或通过未注册的 IP 地址访问。通常,当用户尝试登录/访问其帐户时,IP 限制解决方案会根据允许列表评估登录请求的 IP 地址。如果您不知道您的 IP 地址,您可以通过百度键入“ IP ”来检查您的 IP 地址。动态 IP – 用户每次连接到网络时,IP 地址可能会有所不同。
博客
对于零信任 企业应该知道这22问
08-24 290
在产业数字化升级与业务上云的趋势下,传统企业保护边界逐渐被瓦解,企业被攻击面大幅增加,零信任这一网络安全的理念受到更多的关注,国内外围绕零信任展开大量的研究和实践。企业该如何部署零信任,OneAuth身份引擎云管理安全围绕零信任基于自身应用实践,梳理了22个常见的问题,帮助用户快速理解。Q1大家都在讨论零信任,零信任到底是什么?答:本质上,零信任既不是技术也不是产品,而是一种安全理念,“持续验证,永不信任”是其基本观点。零信任假定网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要
博客
云原生架构需遵循七个原则
08-23 813
作为一种架构模式,云原生架构通过若干原则来对应用架构进行核心控制。这些原则可以帮助技术主管和架构师在进行技术选型时更加高效、准确,下面将展开具体介绍。服务化原则在软件开发过程中,当代码数量与开发团队规模都扩张到一定程度后,就需要重构应用,通过模块化与组件化的手段分离关注点,降低应用的复杂度,提升软件的开发效率,降低维护成本。随着业务的不断发展,单体应用能够承载的容量将逐渐到达上限,即使通过应用改造来突破垂直扩展(Scale Up)的瓶颈,并将其转化为支撑水平扩展(Scale Out)的能力,在全局并发访问的
博客
使用spring security 实现CAS单点登录
08-22 1312
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
博客
东半球最佳的身份引擎服务,诚邀探索
08-12 205
当然,每个组织都不会突然放弃其现有⽹络并将所有东⻄推到云中,但是,新的解决⽅案必须支持混合的场景,通过整合本地⽹路连接到云的场景,逐渐的转变。OneAuth 致力于为未来的云身份管理打造极致体验的产品,接受您对产品的任何挑战,对于采纳的建议,我们将提供精美的礼品一份。在认证环节,OneAuth 提供了非常灵活的策略配置,管理员可以根据能够想到的任意安全考量去设计用户的登录和获取权限的流程。连接消费者,建⽴⾯向消费者的统⼀设计语⾔的登录体验,以及建⽴企业级的⽤户中⼼。配置访问的策略以确定是授予还是拒绝访问。.
博客
如何完成繁杂的身份治理
08-12 484
例如身份源中企业微信的员工离职,管理员在企业微信中将员工状态变更,即同步状态到 OneAuth 中该员工则无法登录 OneAuth 继而收回之前授权的应用权限。OneAuth 的映射和表达式起到了非常关键的作用,无需任何代码,即可简便配置,支持复杂场景的账号关联和映射。例如一些企业,由于历史原因,HR 系统和 AD 的邮箱为公司邮箱,但是身份管理平台,需要简化的用户登录名称,登录名为邮箱前缀,而 OA 系统的登录名为用户 ID ,这就造成了各个系统之间的割裂。身份映射统一管理分散的身份。...
博客
企业如何实现安全可靠的云密码管理
08-12 1003
密码在企业应用中充当着身份鉴权的基本角色。云原生的发展国内SaaS类型的应用也日益增多,众多企业开始使用SaaS类的对企业的业务进行管理。如HR SaaS 、CRM、ERP等,对于密码的统一安全管理是众多企业都需要考虑的问题。‍面对众多的员工的应用账号密码应该如何合理有效的进行授权、管理、回收、这可能是众多企业管理员头疼的问题。企业内部存在着一些共享的账号应用,即多人使用同一账号。一般情况下管理员会将明文的账号密码直接分发给员工使用,这可能会造成该应用账号被其他人使用的可能性。当员工离职时,管理员通过修改账
博客
企业应用身份中台,让登录变得更加高效
08-11 351
SaaS的好处是无可争议的,但是在提升便利的同时也带来了新的安全风险。当公司授予用户的访问权限超过完成工作所需的权限,而无法查看或管理多个SaaS和公有云环境中的用户权限时,就容易出现权限越权,影响企业的信息数据泄露等安全隐患。随着近些年的云原生的应用兴起,企业开始对SaaS应用的管理需求日益增高。越来越多的企业开始部署IAM身份管理系统,而对于企业而言自研身份管理类软件成本高、周期长且上线时间慢,而选择一个合适企业身份管理中台,是大多数企业的绝佳选择。OneAuth企业应用身份中台OneAuth 单点登录
博客
北森 x OneAuth,自动化企业员工账号生命周期管理
08-10 614
随着互联网、AI、云计算技术等行业的高速发展,企业信息化建设已成为实现可持续发展和提高企业核心竞争力的重要手段。业务系统的不断增多,员工规模的不断壮大,员工的入职、离职以及权限的开通都需要人工手动来创建,对于大量员工变动的情况下,显然这是一个很重复且的事情,企业往往因为一些业务原因无法及时对离职员工的权限进行收回,易出现企业敏感数据外泄等安全问题。企业应该建设数字化身份生命周期管理,加强对身份管理的重视是当下云时代的有必要注意的问题之一。01.什么是生命周期管理数字化身份生命周期管理是企业内身份伴随其角色进
博客
新一代IAM爆发式增长,混合云时代,企业如何选择云身份管理
08-05 401
根据瞻博网络发布的一项研究报告,未来五年,全球在身份和访问管理( IAM )解决方案上的支出将增长62%,从今年预计的160亿美元增加到2027年的265亿美元。新增的 IAM 市场将主要基于 SaaS 模式(云 IAM ),分析师认为 SaaS 正在迅速成为购买 IAM 解决方案的主要模式——预计到2027年,云IAM将占据 IAM 市场的绝大部分。报告指出:“需要管理的设备和服务比以往任何时候都多,对相关访问权限的要求也不同。”“随着员工在企业中的不同角色迁移,需要跟踪的内容也越来越多,管理身份和访问变
博客
OneAuth云目录,助力企业数字化身份统一管理
08-05 632
一般大型企业内部存在的应用、设备,如堡垒机、防火墙设备、 VPN 网关,无线网络AC控制器等都支持 LDAP 管理功能。建立 LDAP 服务是个相对复杂耗时的过程,企业若想使用 LDAP 服务需要复杂的搭建以及配置,前期部署成本和后期维护成本相对比较高且需要专人维护,对于后期IT运维的要求高且管理维护也颇为复杂。有没有合适解决方案可以既能解决问题又能轻松的使用 LDAP 服务,实现企业现代化建设的数字化身份管理的统一,化繁为简的同时卓越的提升企业管理效率。OneAuth 云目录的特性云目录是&nbs
博客
SSO与密码管理工具的区别:该用哪种?
08-03 221
密码管理器解决方案和单点登录(SSO)有着相同的目的:让用户可以轻松地跨不同的应用程序登录。在这两种技术中,用户只需一次登录即可解锁对多个网站和应用程序的访问。这些相似之处就是为什么人们经常怀疑 SSO 和密码管理器是否是一回事。但事实并非如此。这两种技术都支持多应用程序登录,但方式完全不同。在本文中,我们将更详细地研究这些技术,并帮助您选择最适合您的组织的解决方案。...
博客
OneAuth 7月主题 如果失败,让失败的代价更低
07-28 156
这里是2022年第4期的 OneAuth《身份月报》—— 致力于成为对大家“有用”的 Highlight 看板——每月初通过公众号以及 EDM 邮件等渠道发布。也欢迎大家转发和反馈。对于任何反馈(包括但不限于内容上、形式上)我们不胜感激、并有小惊喜回馈,例如你希望从“身份管理月报”中看到哪些内容;自己推荐的信源、话题、会议等;内容排版或呈现形式上有哪些可以改进的地方等,对与 OneAuth 的期望等等。我们欢迎更多的小
博客
从身份厂商OKTA黑客攻击事件,企业应该注意几大安全问题
07-27 1140
被全球数千家企业使用的认证技术方案公司Okta表示,它正在调查一个潜在的漏洞消息。披露这一消息时,黑客组织 Lapsus$ 在其 Telegram 频道上发布了自称是 Okta内部系统的截图,其中一张似乎显示了 Okta 的 Slack 频道,另一张是 Cloudflare 界面。Okta 是一家拥有超过15,000名客户的身份认证服务,周二表示,攻击者在1月份可以访问支持工程师的笔记本电脑五天。但据该公司称,该服务本身并未遭到破坏。01.OKTA的事件发生回顾Okta 泄密事件的主要原因:内部员工终端缺乏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值