用户

用户

关注
发信
git - GIT扩展无法连接到远程,但是git bash可以
git - cherry-pick 的提交具有不同的哈希值
python - 使用正确的分页从Twitter获取用户的所有followers_id
haskell - 生成所有可能的树
netbeans - 我如何让Netbeans从包含的类库中自动将第3方jars复制到项目的dist/lib目录中?
python - 从Python 3中的元组列表创建表
javascript - JavaScript-隐藏所有其他div
elasticsearch - 子聚合脚本,其参数取自父聚合
java - 错误:NoSuchMethodError(Java):org.apache.poi.openxml4j.util.ZipInputStreamZipEntrySource。<init>(Ljava/util/zip/ZipInputStream;)V
java - Eclipse中的Spring项目-404
r - 使用dplyr将小数列表除以R中的小数列表
java - 如何在Java中对齐换行符?
android - Gradle,Robolectric和Espresso
ios - 如何使用解析添加两个PFquery数据的对象?
微软承认Windows 11新版本任务栏无响应问题 已公布临时解决方案

django - 我应该如何在Django应用程序中使用AAD实现用户SSO(使用Django Microsoft身份验证后端模块)?

扫码查看

我正在开发安装了Django Microsoft Auth的Django(2.2.3)应用程序,以使用Azure AD处理SSO。我已经能够按照快速入门文档使用我的Microsoft身份或添加到Django用户表中的标准用户名和密码登录Django Admin面板。所有这些都是开箱即用的,很好。

我的问题(确实)仅是“下一步我要做什么?”。从用户的角度来看,我希望他们:

  • 导航到我的应用程序(example.com/或example.com/content)-Django将意识到它们未通过身份验证,或者
  • 会将它们自动重定向到同一窗口中的SSO门户,即
  • 将他们重定向到example.com/login,这要求他们单击将打开SSO的按钮
    窗口中的门户(这是默认管理情况下发生的情况)
  • 允许他们登录并使用其Microsoft帐户MFA
  • 成功将其重定向到我的@login_required页(example.com/content)

    • 当前,在导航的根目录(example.com/)中,我有以下内容:
        def index(request):
        if request.user.is_authenticated:
            return redirect("/content")
        else:
            return redirect("/login")

    我最初的想法只是将redirect("/login")更改为redirect(authorization_url)-这就是我的问题所在。

    据我所知,没有任何方法可以获取上下文处理器的当前实例(?)或microsoft_auth插件的后端来调用authorization_url()函数并从views.py重定向用户。

    好的...然后我想我只是实例化生成身份验证URL的MicrosoftClient类。这没有用-不能100%确定原因,但是它认为这可能与后端/上下文处理器上实际MicrosoftClient实例使用的某些状态变量与我的实例不一致有关。

    最后,我尝试模仿自动/admin页的功能-呈现一个SSO按钮供用户单击,然后在单独的窗口中打开Azure门户。深入研究之后,我意识到我从根本上存在相同的问题-身份验证URL作为内联JS传递到管理登录页面模板中,该内联JS随后用于在客户端异步创建Azure窗口。

    作为健全性检查,我尝试手动导航到admin登录页面中显示的身份验证URL,并且确实有效(尽管重定向到/content无效)。

    在这一点上,考虑到我认为自己很难做到,我觉得我会完全以错误的方式来做这件事。可悲的是,我找不到任何有关如何完成此过程部分的文档。

    那么,我在做什么错呢?

    最佳答案

    再过两天,我最终自己解决了这些问题,并了解了有关Django工作原理的更多信息。
    我所缺少的链接是来自(第三方)Django模块的上下文处理器如何/在何处将其上下文传递到最终呈现的页面。我没有意识到默认情况下,我也可以在任何模板中访问microsoft_auth包中的变量(例如其模板中使用的authorisation_url)。知道了这一点,我能够实现管理面板使用的基于JS的相同登录过程的稍微简化的版本。
    假设将来有任何人阅读我正在经历的(学习)相同的过程(特别是使用此软件包),我可能可以猜到接下来的几个问题……
    第一个是“我已经成功登录...如何代表用户做任何事情?!”。可以假定您将获得用户的访问 token 以用于将来的请求,但是在编写此程序包时,默认情况下似乎并没有以任何明显的方式进行操作。该软件包的文档仅能使您登录到管理面板。
    (在我看来,不是很明显)答案是,您必须将MICROSOFT_AUTH_AUTHENTICATE_HOOK设置为可以在成功进行身份验证时调用的函数。它将传递给已登录的用户(模型)及其 token JSON对象,供您随意处理。经过深思熟虑,我选择使用AbstractUser扩展我的用户模型,并仅将每个用户的 token 与其他数据保持在一起。
    models.py

    class User(AbstractUser):
    access_token = models.CharField(max_length=2048, blank=True, null=True)
    id_token = models.CharField(max_length=2048, blank=True, null=True)
    token_expires = models.DateTimeField(blank=True, null=True)
    aad.py
    from datetime import datetime
from django.utils.timezone import make_aware

def store_token(user, token):
    user.access_token = token["access_token"]
    user.id_token = token["id_token"]
    user.token_expires = make_aware(datetime.fromtimestamp(token["expires_at"]))
    user.save()
    settings.py
    MICROSOFT_AUTH_EXTRA_SCOPES = "User.Read"
MICROSOFT_AUTH_AUTHENTICATE_HOOK = "django_app.aad.store_token"
    请注意MICROSOFT_AUTH_EXTRA_SCOPES设置,这可能是您的第二个/另一个问题-软件包中默认的范围设置为SCOPE_MICROSOFT = ["openid", "email", "profile"],如何添加更多的范围并不明显。我至少需要添加User.Read。请记住,该设置需要一串用空格分隔的范围,而不是列表。
    获得访问 token 后,您就可以向Microsoft Graph API发出请求了。他们的Graph Explorer在帮助解决这个问题上非常有用。

    09-03 23:59
    查看更多
    Powered by LMLPHP ©2025 用户 0.030131