python - 如何将Django OAuth Toolkit与Python Social Auth结合使用？

Question

我正在使用Django Rest Framework构建API。后来，该API应该由iOS和Android设备使用。我想允许我的用户使用Facebook和Google等oauth2提供程序进行注册。在这种情况下，他们完全不必在我的平台上创建帐户。但是，当我没有django-oauth-toolkit的Facebook / Google帐户时，用户也应该能够注册，所以我有自己的oauth2-provider。

对于外部提供程序，我使用的是python-social-auth，它可以正常工作并自动创建用户对象。

我希望客户端使用承载令牌进行身份验证，这对于与我的提供程序注册的用户来说效果很好（django-oauth-toolkit为Django REST框架提供了身份验证方案和权限类）。
但是，python-social-auth仅实现基于会话的身份验证，因此没有直接的方法可以代表由外部oauth2提供程序注册的用户发出经过身份验证的API请求。

如果我使用django-oauth-toolkit生成的access_token，则执行如下请求：

curl -v -H "Authorization: Bearer <token_generated_by_django-oauth-toolkit>" http://localhost:8000/api/

但是，以下操作无效，因为没有针对Django REST Framework的相应身份验证方案，并且python-social-auth提供的AUTHENTICATION_BACKENDS仅适用于基于会话的身份验证：

curl -v -H "Authorization: Bearer <token_stored_by_python-social-auth>" http://localhost:8000/api/

在通过python-social-auth进行身份验证后，使用Django REST Framework提供的可浏览API可以正常工作，只有没有会话cookie的API调用才起作用。

我想知道解决此问题的最佳方法是什么。从我的角度来看，我基本上有两个选择：

答：当用户使用外部oauth2提供程序进行注册（由python-social-auth处理）时，请进入该过程以创建oauth2_provider.models.AccessToken并继续使用 'oauth2_provider.ext.rest_framework.OAuth2Authentication'，现在还可以对通过外部提供商。建议在此方法：
https://groups.google.com/d/msg/django-rest-framework/ACKx1kY7kZM/YPWFA2DP9LwJ

B：使用python-social-auth进行API请求身份验证。我可以通过编写自定义后端并使用register_by_access_token使自己的用户进入python-social-auth。但是，由于API调用无法利用Django会话，这意味着我将不得不为Django Rest Framework编写一个使用python-social-auth存储的数据的身份验证方案。有关如何执行此操作的一些说明，请参见此处：

http://psa.matiasaguirre.net/docs/use_cases.html#signup-by-oauth-access-token
http://blog.wizer.fr/2013/11/angularjs-facebook-with-a-django-rest-api/
http://cbdev.blogspot.it/2014/02/facebook-login-with-angularjs-django.html
但是，据我了解，python-social-auth仅在登录时验证令牌，然后再依赖Django会话。这意味着我将不得不找到一种方法来防止python-social-auth对每个无状态API请求执行整个oauth2-flow，而是对照存储在数据库中的数据进行检查，因为该数据库实际上并未针对查询进行优化存储为JSON（尽管我可以使用UserSocialAuth.objects.get（extra_data__contains =））。

我还必须注意验证访问令牌的范围，并使用它们来检查权限，这是django-oauth-toolkit已经执行的操作（ TokenHasScope， required_scopes等）。

目前，我倾向于使用选项A，因为django-oauth-toolkit提供了与Django Rest Framework的良好集成，并且可以立即获得所需的一切。唯一的缺点是我必须将python-social-auth检索到的access_tokens“注入” django-oauth-toolkit的AccessToken模型中，这在某种程度上让人感到不对，但这可能是迄今为止最简单的方法。

是否有人对此有异议或以不同的方式解决了相同的问题？我是否遗漏了一些明显的东西并使我的生活变得更加艰难？
如果有人已经将django-oauth-toolkit与python-social-auth和外部oauth2提供程序集成在一起，我将非常感谢您提供的一些指示或意见。

Answer 1

实施OAuth的许多困难归结为了解授权流程应如何工作。这主要是因为这是登录的“起点”，并且在使用第三方后端（使用诸如Python Social Auth之类的东西）时，您实际上要执行两次：一次用于API，一次用于第三方API。

使用您的API和第三方后端授权请求

您需要通过的身份验证过程是：

Mobile App -> Your API : Authorization redirect
Your API -> Django Login : Displays login page
Django Login -> Facebook : User signs in
Facebook -> Django Login : User authorizes your API
Django Login -> Your API : User signs in
Your API -> Mobile App : User authorizes mobile app

我在这里使用“ Facebook”作为第三方后端，但是任何后端的过程都是相同的。

从移动应用程序的角度来看，您仅重定向到Django OAuth Toolkit提供的 /authorize网址。从那里开始，移动应用程序将一直等到到达回调URL，就像在标准OAuth授权流程中一样。几乎所有其他内容（Django登录名，社交登录名等）都在后台由Django OAuth Toolkit或Python Social Auth处理。

这也将与您使用的几乎所有OAuth库兼容，无论使用什么第三方后端，授权流程都将相同。它甚至可以处理需要支持Django身份验证后端（电子邮件/用户名和密码）以及第三方登录的（常见）情况。

Mobile App -> Your API : Authorization redirect
Your API -> Django Login : Displays login page
Django Login -> Your API : User signs in
Your API -> Mobile App : User authorizes mobile app

这里还要注意的重要一点是，移动应用程序（可以是任何OAuth客户端）从不接收Facebook /第三方OAuth令牌。这非常重要，因为它可以确保您的API充当OAuth客户端和用户的社交帐户之间的中介。

Mobile App -> Your API : Authorization redirect
Your API -> Mobile App : Receives OAuth token
Mobile App -> Your API : Requests the display name
Your API -> Facebook : Requests the full name
Facebook -> Your API : Sends back the full name
Your API -> Mobile App : Send back a display name

否则，OAuth客户端将能够绕过您的API并代表您向第三方API发出请求。

Mobile App -> Your API : Authorization redirect
Your API -> Mobile App : Receives Facebook token
Mobile App -> Facebook : Requests all of the followers
Facebook -> Mobile App : Sends any requested data

您会注意到，此时您将失去对第三方令牌的所有控制权。这特别危险，因为大多数令牌可以访问广泛的数据，这为滥用提供了可能，并最终以您的名字为名。极有可能的是，那些登录您的API /网站的人并不打算与OAuth客户端共享他们的社交信息，而是希望您（尽可能多地）将该信息保密，而是向所有人公开这些信息。

验证对您的API的请求

当移动应用程序随后使用您的OAuth令牌向您的API发出请求时，所有身份验证都会在后台通过Django OAuth Toolkit（或您的OAuth提供程序）进行。您所看到的只是与您的请求关联的 User。

Mobile App -> Your API : Sends request with OAuth token
Your API -> Django OAuth Toolkit : Verifies the token
Django OAuth Toolkit -> Your API : Returns the user who is authenticated
Your API -> Mobile App : Sends requested data back

这很重要，因为在授权阶段之后，如果用户来自Facebook或Django的身份验证系统，这不会有任何不同。您的API只需要一个 User即可使用，您的OAuth提供者应该能够处理令牌的身份验证和验证。

与使用会话支持的身份验证时，Django REST框架对用户进行身份验证的方式没有太大不同。

Web Browser -> Your API : Sends session cookie
Your API -> Django : Verifies session token
Django -> Your API : Returns session data
Your API -> Django : Verifies the user session
Django -> Your API : Returns the logged in user
Your API -> Web Browser : Returns the requested data

同样，所有这些都由Django OAuth Toolkit处理，并且不需要额外的工作来实现。

使用本机SDK

在大多数情况下，您将通过自己的网站对用户进行身份验证，并使用Python Social Auth处理所有内容。但是一个值得注意的例外是使用本地SDK时，因为身份验证和授权是通过本地系统处理的，这意味着您将完全绕过API。这对于需要与第三方登录的应用程序或根本不使用您的API的应用程序非常有用，但是当两者结合在一起时，这是一场噩梦。

这是因为您的服务器无法验证登录名，并被迫假定登录名是真实和真实的，这意味着它绕过了Python Social Auth为您提供的所有安全性。

Mobile App -> Facebook SDK : Opens the authorization prompt
Facebook SDK -> Mobile App : Gets the Facebook token
Mobile App -> Your API : Sends the Facebook token for authorization
Your API -> Django Login : Tries to validate the token
Django Login -> Your API : Returns a matching user
Your API -> Mobile App : Sends back an OAuth token for the user

您会注意到，这会在身份验证阶段跳过您的API，然后强制您的API对传入的令牌进行假设。但是，在某些情况下，这种风险可能值得，因此您应该在进行评估之前把它扔出去。您需要在用户的快速登录和本机登录之间进行权衡，并可能处理不良或恶意令牌。