用于 Django3 + DRF 身份验证的 AWS Cognito

Posted

技术标签:

【中文标题】用于 Django3 + DRF 身份验证的 AWS Cognito【英文标题】:AWS Cognito for Django3 + DRF Authentication 【发布时间】:2020-06-04 04:03:08 【问题描述】:

我正在尝试设置 AWS Cognito 后端 我有一个 React 前端已经在使用它,现在我需要我的 DRF API 来使用 Cognito 作为后端进行身份验证。

我为此找到了一些 Python 包,它们似乎都没有得到积极维护 django-warrant 不适用于 Django3 并且几乎已经死了

Django Cognito JWT 似乎是我最好的选择, 但也没有积极维护,文档很差,还有一个medium post关于如何使用,不是很详细,但聊胜于无。

所以,我尝试按照文档进行操作

在我的设置中添加了环境变量

COGNITO_AWS_REGION = 'us-east-1'
COGNITO_USER_POOL = 'us-east-1_xxxxxxx'  # same user pool id I'm using on the React app
COGNITO_AUDIENCE = 'XXXXXXXXXXXXXXXXXXXXXX' # the same client id I'm using on the React app

然后在我的 DRF 身份验证类上:

    'DEFAULT_AUTHENTICATION_CLASSES': [
        'django_cognito_jwt.JSONWebTokenAuthentication',
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ],

最后是用户模型:

AUTH_USER_MODEL = 'accounts.MyUser'
COGNITO_USER_MODEL = "accounts.MyUser"

我的自定义用户模型:

class MyUser(AbstractUser):
    """User model."""

    username = None
    email = models.EmailField(_('email address'), unique=True)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = []

    objects = UserManager()

我也在使用 DRF JWT 包,如果我尝试使用 Cognito 用户登录,类似于:

curl -X POST -H "Content-Type: application/json" -d '"email":"user@invalid.com","password":"secretpassword"' http://localhost/api-token-auth/

我收到一个错误

"non_field_errors":["Unable to log in with provided credentials."]

另一方面,如果我尝试通过 Django Rest Framework JWT 使用本地 Django 用户登录,它可以正常工作,并且我得到 JWT 令牌作为响应,所以我猜问题是 Cognito 集成。

知道我错过了什么吗?或者我该如何调试才能弄清楚发生了什么?

更新

在对代码进行了更多挖掘之后,我发现了一些东西:

即使进行 DRF JWT 身份验证,代码最终也会出现在: django/contrib/auth/init.py 它循环遍历 Django 的所有身份验证后端,而不是 DRF:

for backend, backend_path in _get_backends(return_tuples=True):

仍然使用ModelBackend 对用户进行身份验证。

所以,我想我还需要为 Django 添加一些 Cognito 身份验证后端。 我检查了是否可以只使用 DRF 上使用的相同后端,但随后出现无效参数错误: TypeError: authenticate() got an unexpected keyword argument 'email'

更新 2 似乎问题之一是因为我使用电子邮件而不是用户名进行身份验证,并且似乎没有一个软件包支持它

【问题讨论】:

是适合您问题的this 答案之一吗? 不,这些答案与 AWS Cognito 无关 您确定问题完全出在 Cognito 上吗?这是默认的 DRF 消息,而不是 Cognito 的特定消息。 是的,通过 DRF JWT 的身份验证有效,我将使用此信息更新问题 您的设置是否正常工作?也在努力应对 react 和 drf。 【参考方案1】:

基本上,有两个步骤可以实现您的目标。

    通过 Boto3 库从 Cognito 获取 IdToken 和 AccessToken。 应用此 Pattern Authorization Bearer IdToken 中的 IdToken 以通过 curl 调用 API。

rest_framework_jwt 不同,django_cognito_jwt 仅处理标头处的 JWT 令牌。 django_cognito_jwt 不包括第 1 步。这就是您收到此错误 TypeError: authenticate() got an unexpected keyword argument 'email' 的原因。

因此,解决方案是使用 boto3 获取 IdToken 并通过传递 Authorization:Bearer IdToken 标头应用 curl

【讨论】:

以上是关于用于 Django3 + DRF 身份验证的 AWS Cognito的主要内容,如果未能解决你的问题,请参考以下文章

仅在 DRF 中进行身份验证时才检查 CSRF?

06 drf源码剖析之权限

DRF:“详细信息”:“未提供身份验证凭据。”

未提供身份验证凭据 drf

带有 DRF 的 cookie 的 Nuxt 身份验证

NextJs 身份验证与针对 DRF 的 Next-Auth