django - 我应该如何在 Django 应用程序中使用 AAD 实现用户 SSO(使用 Django Microsoft 身份验证后端模块)？

Question

我正在使用 Django Microsoft Auth 开发 Django (2.2.3) 应用程序安装用于使用 Azure AD 处理 SSO。我已经能够按照快速入门文档进行操作，允许我使用我的 Microsoft 身份或我添加到 Django 用户表中的标准用户名和密码登录 Django 管理面板。这一切都是开箱即用的并且很好。

我的问题(实际上)很简单，就是“接下来我该怎么办？”。从用户的角度来看，我希望他们:

1. 导航到我的应用程序(example.com/或 example.com/content) - Django 将意识到它们未经过身份验证，并且
   • 自动将它们重定向到同一窗口中的 SSO 门户，或者
   • 将他们重定向到 example.com/login，这要求他们单击打开 SSO 的按钮窗口中的门户(这是默认管理情况下发生的情况)
2. 允许他们通过 Microsoft 帐户登录并使用 MFA
3. 成功后将他们重定向到我的 @login_required 页面 (example.com/content)

目前，在我的导航根目录 (example.com/)，我有以下内容:

    def index(request):
        if request.user.is_authenticated:
            return redirect("/content")
        else:
            return redirect("/login")

我最初的想法是简单地将 redirect("/login") 更改为 redirect(authorization_url) - 这就是我的问题开始的地方..

据我所知，没有任何方法可以获取上下文处理器的当前实例(？)或 microsoft_auth 插件的后端来调用 authorization_url() 函数并从 views.py 重定向用户。

好吧...然后我想我只需实例化生成身份验证 URL 的 MicrosoftClient 类即可。这不起作用 - 不是 100% 确定原因，但它认为这可能与后端/上下文处理器上实际 MicrosoftClient 实例使用的某些状态变量与我的实例。

最后，我尝试模仿自动 /admin 页面的功能 - 提供一个 SSO 按钮供用户单击，并在单独的窗口中打开 Azure 门户。经过一番研究后，我意识到我基本上遇到了同样的问题 - 身份验证 URL 作为内联 JS 传递到管理登录页面模板中，稍后用于在客户端异步创建 Azure 窗口。

作为健全性检查，我尝试手动导航到管理登录页面中显示的身份验证 URL，这确实有效(尽管重定向到 /content 没有)。

在这一点上，考虑到我认为自己为自己做这件事有多么困难，我觉得我正在以完全错误的方式处理这整件事。遗憾的是，我找不到任何有关如何完成这部分过程的文档。

那么，我做错了什么？!

Answer 1

又花了几天时间，我最终自己解决了这些问题，并更多地了解了 Django 的工作原理。

我缺少的链接是(第三方)Django 模块的上下文处理器如何/在哪里将其上下文传递到最终呈现的页面。我没有意识到默认情况下我也可以在任何模板中访问 microsoft_auth 包中的变量(例如其模板中使用的 authorization_url)。知道了这一点，我能够实现管理面板使用的基于 JS 的登录流程的稍微简单的版本。

假设将来阅读本文的任何人都会经历与我相同的(学习)过程(特别是这个包)，我也许能够猜测您接下来会遇到的几个问题...

第一个是“我已成功登录...我该如何代表用户执行任何操作？!”。人们会假设您将获得用户的访问 token 以用于将来的请求，但在编写此包时，默认情况下似乎没有以任何明显的方式执行此操作。该包的文档只能帮助您登录管理面板。

(在我看来，不是那么明显)答案是您必须将 MICROSOFT_AUTH_AUTHENTICATE_HOOK 设置为可以在成功身份验证时调用的函数。它将传递登录用户(模型)及其 token JSON 对象，供您按照您的意愿进行操作。经过深思熟虑，我选择使用 AbstractUser 扩展我的用户模型，并仅将每个用户的 token 与其其他数据一起保留。

模型.py

class User(AbstractUser):
    access_token = models.CharField(max_length=2048, blank=True, null=True)
    id_token = models.CharField(max_length=2048, blank=True, null=True)
    token_expires = models.DateTimeField(blank=True, null=True)

aad.py

from datetime import datetime
from django.utils.timezone import make_aware

def store_token(user, token):
    user.access_token = token["access_token"]
    user.id_token = token["id_token"]
    user.token_expires = make_aware(datetime.fromtimestamp(token["expires_at"]))
    user.save()

设置.py

MICROSOFT_AUTH_EXTRA_SCOPES = "User.Read"
MICROSOFT_AUTH_AUTHENTICATE_HOOK = "django_app.aad.store_token"

请注意 MICROSOFT_AUTH_EXTRA_SCOPES 设置，这可能是您的第二个问题/附带问题 - 包中的默认范围设置为 SCOPE_MICROSOFT = ["openid", "email", "profile"] ，以及如何添加更多内容并不明显。我至少需要添加 User.Read 。请记住，该设置需要一串空格分隔的范围，而不是列表。

获得访问 token 后，您就可以自由地向 Microsoft Graph API 发出请求。他们的Graph Explorer在帮助解决这个问题方面非常有用。