Google Cloud Endpoints 的自定义身份验证(而不是 OAuth2)
Posted
技术标签:
【中文标题】Google Cloud Endpoints 的自定义身份验证(而不是 OAuth2)【英文标题】:Custom Authentication for Google Cloud Endpoints (instead of OAuth2) 【发布时间】:2013-06-02 22:44:36 【问题描述】:我们对 App Engine 对 Google Cloud Endpoints 的支持感到非常兴奋。
也就是说我们还没有使用 OAuth2,通常使用用户名/密码对用户进行身份验证 这样我们就可以为没有 Google 帐户的客户提供支持。
我们希望将 API 迁移到 Google Cloud Endpoints,因为我们可以免费获得所有好处(API 控制台、客户端库、稳健性……),但我们的主要问题是……
如何将自定义身份验证添加到我们之前在现有 API 中检查有效用户会话 + CSRF 令牌的云端点。
有没有一种优雅的方法可以做到这一点,而无需在 protoRPC 消息中添加会话信息和 CSRF 令牌等内容?
【问题讨论】:
将得到一个真正的答案,但 TL;DR,如果您使用自己的帐户,如果您想使用 OAuth 2.0,则需要创建自己的 OAuth 令牌。 关于这个有什么新的 tosh 和 @bossylobster 吗?有人成功了吗? 目前没有什么新东西,但我在这里提供了更多关于如何执行此操作的信息,但是@tosh,我想你已经知道了。 ***.com/questions/18716674/… 【参考方案1】:我正在为我的整个应用程序使用 webapp2 身份验证系统。所以我尝试将它重用于谷歌云身份验证,我明白了!
webapp2_extras.auth 使用 webapp2_extras.sessions 来存储身份验证信息。这个会话可以以 3 种不同的格式存储:securecookie、datastore 或 memcache。
Securecookie 是我正在使用的默认格式。我认为它足够安全,因为 webapp2 身份验证系统用于在生产环境中运行的许多 GAE 应用程序。
所以我解码了这个securecookie并从GAE端点重用它。我不知道这是否会产生一些安全问题(我希望不会)但也许@bossylobster 可以说看看安全方面是否可以。
我的 API:
import Cookie
import logging
import endpoints
import os
from google.appengine.ext import ndb
from protorpc import remote
import time
from webapp2_extras.sessions import SessionDict
from web.frankcrm_api_messages import IdContactMsg, FullContactMsg, ContactList, SimpleResponseMsg
from web.models import Contact, User
from webapp2_extras import sessions, securecookie, auth
import config
__author__ = 'Douglas S. Correa'
TOKEN_CONFIG =
'token_max_age': 86400 * 7 * 3,
'token_new_age': 86400,
'token_cache_age': 3600,
SESSION_ATTRIBUTES = ['user_id', 'remember',
'token', 'token_ts', 'cache_ts']
SESSION_SECRET_KEY = '9C3155EFEEB9D9A66A22EDC16AEDA'
@endpoints.api(name='frank', version='v1',
description='FrankCRM API')
class FrankApi(remote.Service):
user = None
token = None
@classmethod
def get_user_from_cookie(cls):
serializer = securecookie.SecureCookieSerializer(SESSION_SECRET_KEY)
cookie_string = os.environ.get('HTTP_COOKIE')
cookie = Cookie.SimpleCookie()
cookie.load(cookie_string)
session = cookie['session'].value
session_name = cookie['session_name'].value
session_name_data = serializer.deserialize('session_name', session_name)
session_dict = SessionDict(cls, data=session_name_data, new=False)
if session_dict:
session_final = dict(zip(SESSION_ATTRIBUTES, session_dict.get('_user')))
_user, _token = cls.validate_token(session_final.get('user_id'), session_final.get('token'),
token_ts=session_final.get('token_ts'))
cls.user = _user
cls.token = _token
@classmethod
def user_to_dict(cls, user):
"""Returns a dictionary based on a user object.
Extra attributes to be retrieved must be set in this module's
configuration.
:param user:
User object: an instance the custom user model.
:returns:
A dictionary with user data.
"""
if not user:
return None
user_dict = dict((a, getattr(user, a)) for a in [])
user_dict['user_id'] = user.get_id()
return user_dict
@classmethod
def get_user_by_auth_token(cls, user_id, token):
"""Returns a user dict based on user_id and auth token.
:param user_id:
User id.
:param token:
Authentication token.
:returns:
A tuple ``(user_dict, token_timestamp)``. Both values can be None.
The token timestamp will be None if the user is invalid or it
is valid but the token requires renewal.
"""
user, ts = User.get_by_auth_token(user_id, token)
return cls.user_to_dict(user), ts
@classmethod
def validate_token(cls, user_id, token, token_ts=None):
"""Validates a token.
Tokens are random strings used to authenticate temporarily. They are
used to validate sessions or service requests.
:param user_id:
User id.
:param token:
Token to be checked.
:param token_ts:
Optional token timestamp used to pre-validate the token age.
:returns:
A tuple ``(user_dict, token)``.
"""
now = int(time.time())
delete = token_ts and ((now - token_ts) > TOKEN_CONFIG['token_max_age'])
create = False
if not delete:
# Try to fetch the user.
user, ts = cls.get_user_by_auth_token(user_id, token)
if user:
# Now validate the real timestamp.
delete = (now - ts) > TOKEN_CONFIG['token_max_age']
create = (now - ts) > TOKEN_CONFIG['token_new_age']
if delete or create or not user:
if delete or create:
# Delete token from db.
User.delete_auth_token(user_id, token)
if delete:
user = None
token = None
return user, token
@endpoints.method(IdContactMsg, ContactList,
path='contact/list', http_method='GET',
name='contact.list')
def list_contacts(self, request):
self.get_user_from_cookie()
if not self.user:
raise endpoints.UnauthorizedException('Invalid token.')
model_list = Contact.query().fetch(20)
contact_list = []
for contact in model_list:
contact_list.append(contact.to_full_contact_message())
return ContactList(contact_list=contact_list)
@endpoints.method(FullContactMsg, IdContactMsg,
path='contact/add', http_method='POST',
name='contact.add')
def add_contact(self, request):
self.get_user_from_cookie()
if not self.user:
raise endpoints.UnauthorizedException('Invalid token.')
new_contact = Contact.put_from_message(request)
logging.info(new_contact.key.id())
return IdContactMsg(id=new_contact.key.id())
@endpoints.method(FullContactMsg, IdContactMsg,
path='contact/update', http_method='POST',
name='contact.update')
def update_contact(self, request):
self.get_user_from_cookie()
if not self.user:
raise endpoints.UnauthorizedException('Invalid token.')
new_contact = Contact.put_from_message(request)
logging.info(new_contact.key.id())
return IdContactMsg(id=new_contact.key.id())
@endpoints.method(IdContactMsg, SimpleResponseMsg,
path='contact/delete', http_method='POST',
name='contact.delete')
def delete_contact(self, request):
self.get_user_from_cookie()
if not self.user:
raise endpoints.UnauthorizedException('Invalid token.')
if request.id:
contact_to_delete_key = ndb.Key(Contact, request.id)
if contact_to_delete_key.get():
contact_to_delete_key.delete()
return SimpleResponseMsg(success=True)
return SimpleResponseMsg(success=False)
APPLICATION = endpoints.api_server([FrankApi],
restricted=False)
【讨论】:
我认为是的,但是您必须从数据存储区获取会话,而不是从securecookie。我试过了,但我无法让数据存储会话工作 我认为问题在于您需要 Request 对象来访问(数据存储格式)会话。在端点中,您无法访问 Request 对象。 理论上,您还需要请求对象来访问securecookie,但正如您所见,我深入研究了webapp2代码,发现它并不是真正需要的,只是其中的一些信息。也许您可以对 Datastore 会话做同样的事情 我使用普通的基于 cookie 的身份验证,Endpoints 似乎为不同的用户缓存 cookie!这让我头疼 您将如何注册和登录?【参考方案2】:我编写了一个名为 Authtopus 的自定义 python 身份验证库,任何寻求此问题解决方案的人都可能会对它感兴趣:https://github.com/rggibson/Authtopus
Authtopus 支持基本的用户名和密码注册和登录,以及通过 Facebook 或 Google 进行的社交登录(也可以添加更多的社交服务提供商而无需太多麻烦)。用户账户是根据验证的电子邮件地址合并的,所以如果用户先通过用户名和密码注册,然后使用社交登录,并且账户的验证电子邮件地址匹配,则不会创建单独的用户账户。
【讨论】:
能提供java的库吗? 我很乐意,但可能不会很快解决。 哦,好的。可能是一些文档,以便我可以制作一个库? 虽然可以改进,但有一些关于库如何工作的信息,以及自述文件中每个端点 URL 预期参数的详细信息。【参考方案3】:据我了解,Google Cloud Endpoints 提供了一种实现(RESTful?)API 和生成移动客户端库的方法。在这种情况下,身份验证将是 OAuth2。 OAuth2 提供不同的“流程”,其中一些支持移动客户端。 在使用主体和凭据(用户名和密码)进行身份验证的情况下,这似乎不太合适。老实说,我认为使用 OAuth2 会更好。 实施自定义 OAuth2 流程来支持您的案例是一种可行但非常容易出错的方法。 我还没有使用过 OAuth2,但也许可以为用户创建一个“API 密钥”,这样他们就可以通过使用移动客户端来使用前端和后端。
【讨论】:
OAuth2 总是需要有谷歌账号,这是用户最头疼的问题。【参考方案4】:您可以使用jwt 进行身份验证。解决方案here
【讨论】:
【参考方案5】:我还没有编码,但它想象了下一种方式:
当服务器收到登录请求时,它会在数据存储中查找用户名/密码。如果找不到用户,服务器会响应一些包含适当消息的错误对象,例如“用户不存在”或类似的消息。如果发现它存储在 FIFO 类型的集合(缓存)中,其大小有限,例如 100(或 1000 或 10000)。
成功登录请求后,服务器返回客户端 sessionid,如“;LKJLK345345LKJLKJSDF53KL”。可以是 Base64 编码的用户名:密码。 客户端将其存储在名为“authString”或“sessionid”(或不那么雄辩的东西)的 Cookie 中,有效期为 30 分钟(任意)。
登录后的每个请求,客户端都会发送它从 cookie 中获取的 Autorization 标头。每次使用 cookie 时,它都会更新 - 因此它在用户活动时永远不会过期。
在服务器端,我们将使用 AuthFilter 来检查每个请求中是否存在 Authorization 标头(不包括登录、注册、reset_password)。如果未找到此类标头,则过滤器将响应返回给客户端,状态码为 401(客户端向用户显示登录屏幕)。如果标头找到过滤器首先检查用户在缓存中的存在,然后在数据存储中,如果用户发现 - 什么都不做(请求由适当的方法处理),未找到 - 401。
以上架构允许保持服务器无状态,但仍具有自动断开会话。
【讨论】:
以上是关于Google Cloud Endpoints 的自定义身份验证(而不是 OAuth2)的主要内容,如果未能解决你的问题,请参考以下文章
没有 Google 帐户的 Google Cloud Endpoints
使用 Google Cloud Endpoints 时如何重启 Flask 服务器?
Google Cloud Endpoints 相当于 API 网关,还是 Endpoints 相当于微服务?
Google Cloud Endpoints:身份验证问题(错误 403)