用于 Django3 + DRF 身份验证的 AWS Cognito

Posted 2023-03-08

【中文标题】用于 Django3 + DRF 身份验证的 AWS Cognito

【英文标题】：AWS Cognito for Django3 + DRF Authentication

【发布时间】：2020-06-04 04:03:08

【问题描述】：

我正在尝试设置 AWS Cognito 后端 我有一个 React 前端已经在使用它，现在我需要我的 DRF API 来使用 Cognito 作为后端进行身份验证。

我为此找到了一些 Python 包，它们似乎都没有得到积极维护 django-warrant 不适用于 Django3 并且几乎已经死了

Django Cognito JWT 似乎是我最好的选择， 但也没有积极维护，文档很差，还有一个medium post关于如何使用，不是很详细，但聊胜于无。

所以，我尝试按照文档进行操作

在我的设置中添加了环境变量

COGNITO_AWS_REGION = 'us-east-1'
COGNITO_USER_POOL = 'us-east-1_xxxxxxx'  # same user pool id I'm using on the React app
COGNITO_AUDIENCE = 'XXXXXXXXXXXXXXXXXXXXXX' # the same client id I'm using on the React app

然后在我的 DRF 身份验证类上：

    'DEFAULT_AUTHENTICATION_CLASSES': [
        'django_cognito_jwt.JSONWebTokenAuthentication',
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ],

最后是用户模型：

AUTH_USER_MODEL = 'accounts.MyUser'
COGNITO_USER_MODEL = "accounts.MyUser"

我的自定义用户模型：

class MyUser(AbstractUser):
    """User model."""

    username = None
    email = models.EmailField(_('email address'), unique=True)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = []

    objects = UserManager()

我也在使用 DRF JWT 包，如果我尝试使用 Cognito 用户登录，类似于：

curl -X POST -H "Content-Type: application/json" -d '"email":"user@invalid.com","password":"secretpassword"' http://localhost/api-token-auth/

我收到一个错误

"non_field_errors":["Unable to log in with provided credentials."]

另一方面，如果我尝试通过 Django Rest Framework JWT 使用本地 Django 用户登录，它可以正常工作，并且我得到 JWT 令牌作为响应，所以我猜问题是 Cognito 集成。

知道我错过了什么吗？或者我该如何调试才能弄清楚发生了什么？

更新

在对代码进行了更多挖掘之后，我发现了一些东西：

即使进行 DRF JWT 身份验证，代码最终也会出现在： django/contrib/auth/init.py 它循环遍历 Django 的所有身份验证后端，而不是 DRF：

for backend, backend_path in _get_backends(return_tuples=True):

仍然使用ModelBackend 对用户进行身份验证。

所以，我想我还需要为 Django 添加一些 Cognito 身份验证后端。 我检查了是否可以只使用 DRF 上使用的相同后端，但随后出现无效参数错误： TypeError: authenticate() got an unexpected keyword argument 'email'

更新 2 似乎问题之一是因为我使用电子邮件而不是用户名进行身份验证，并且似乎没有一个软件包支持它

【问题讨论】：

是适合您问题的this 答案之一吗？

不，这些答案与 AWS Cognito 无关

您确定问题完全出在 Cognito 上吗？这是默认的 DRF 消息，而不是 Cognito 的特定消息。

是的，通过 DRF JWT 的身份验证有效，我将使用此信息更新问题

您的设置是否正常工作？也在努力应对 react 和 drf。

【参考方案1】：

基本上，有两个步骤可以实现您的目标。

通过 Boto3 库从 Cognito 获取 IdToken 和 AccessToken。 应用此 Pattern Authorization Bearer IdToken 中的 IdToken 以通过 curl 调用 API。

与 rest_framework_jwt 不同，django_cognito_jwt 仅处理标头处的 JWT 令牌。 django_cognito_jwt 不包括第 1 步。这就是您收到此错误 TypeError: authenticate() got an unexpected keyword argument 'email' 的原因。

因此，解决方案是使用 boto3 获取 IdToken 并通过传递 Authorization:Bearer IdToken 标头应用 curl。