那些遇到过的问题

Django + Auth0 JWT身份验证拒绝解码

Wes*_*oth 7 python django rest jwt auth0

我正在尝试使用django-rest-framework在我的Django REST API中实现基于Auth0 JWT的身份验证.我知道有一个可用于REST框架的JWT库,我尝试使用它,因为官方的Auth0 twitter帐户提到它应该与auth0 + Django一起使用.

编辑:我正在使用官方auth0 python api指南为此代码.它是为烧瓶而写的,但我想我可以将它移植到Django,因为它们的工作方式类似.

现在,这并没有解决我想要的问题,因此我正在尝试login_required为视图编写自己的decorater.我在这里的代码如下:

def auth_required(f):

    def wrap(request, *args, **kwargs):
        auth = request.META.get('HTTP_AUTHORIZATION', None)

        if not auth:
            return authenticate({'code': 'authorization_header_missing', 'description': 'Authorization header is expected'})

        parts = auth.split()

        if parts[0].lower() != 'bearer':
            return authenticate({'code': 'invalid_header', 'description':     'Authorization header must start with Bearer'})
        elif len(parts) == 1:
            return authenticate({'code': 'invalid_header', 'description':     'Token not found'})
        elif len(parts) > 2:
            return authenticate({'code': 'invalid_header', 'description': 'Authorization header must be Bearer + \s + token'})

        token = parts[1]
        try:
            payload = jwt.decode(
                token,
                base64.b64decode(SECRET.replace("_","/").replace("-","+")),
                audience=CLIENT_ID,
            )
        except jwt.ExpiredSignature:
            return authenticate({'code': 'token_expired', 'description': 'token is expired'})
        except jwt.InvalidAudienceError:
            return authenticate({'code': 'invalid_audience', 'description': 'incorrect audience, expected: ' + CLIENT_ID})
        except jwt.DecodeError:
            return authenticate({'code': 'token_invalid_signature', 'description': 'token signature is invalid'})


        return f(request, *args, **kwargs)

    wrap.__doc__=f.__doc__
    wrap.__name__=f.__name__

    return wrap
Run Code Online (Sandbox Code Playgroud)

现在,authenticate()基本上我的自定义实现Jsonify()在Auth0 for Python API的文档中使用.我已经证实这是有效的,所以这不是问题.

SECRET
CLIENT_ID根据Auth0文档,我的Auth0秘密,以base64编码(任何其他密钥无法解码)是我的Auth0客户端ID,用作受众.

我正在前端使用Angular种子项目,并且我已经验证了令牌确实随请求一起发送,并且我已经验证它是存储在token后端变量中的完全相同的令牌.

jwt.decode()被调用时,它会触发jwt.DecodeError每一次,我已经花了无数的时间试图解决这一问题,但我为什么这是绝对惊呆了工作.我已经尝试将JWT选项设置为false,特别是验证签名选项.这有效,但我认为禁用JWT签名的验证是不安全的.

我无法弄清楚为什么这会让我失望,我已经尝试过这个相同的代码而不是它在装饰器中并且它做同样的事情.装饰的视图只是一个返回OK HttpResponse的空视图.

Tldr; 使用Django-REST + Auth0 JWT - jwt.decode()无论我做什么都不会工作.

EDIT2:值得一提的是我是corsheadersdjango-rest,它允许我发出跨域请求.我还按照Auth0的Python API指南底部的提示卸载并重新安装了JWT库,但这对我没有任何帮助.

我忽略了什么,这个实现是不安全的,还是你有更好的方法用Django实现Auth0?请让我知道,这个问题让我做恶梦.

Wes*_*oth 5

一个典型的"最难解决的错误通常是最愚蠢的" ......

我通过双击它从Auth0仪表板复制了密钥,没有意识到有些部分没有被复制.这解决了它.

如果需要,可以在自己的项目中使用我的自定义装饰器来验证JWT.

您导入它,然后像这样使用它:

@auth_required
def myView(request):
    ....
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2689 次

最近记录:

9 年,8 月 前
相关归档
用Celery取消已执行的任务? 84
用Python原子写入文件 52
Django:TemplateDoesNotExist(rest_framework/api.html) 37
RESTful API中的信令身份验证失败 36
如何防止用户在已经登录时访问 django 中的登录页面? 13
Fine Grained rest HTTP动词浏览器支持 10
如何在没有任何理由的情况下阻止TastyPie执行UPDATE查询? 9
Woocommerce REST API - 添加自定义路由 7
从Java调用curl命令 4
Atom 服务和 REST 服务的区别 2
难疑归档
检测未定义的对象属性 2742
我是否施放了malloc的结果? 2318
樱桃挑选Git意味着什么? 2117
如何从Bash脚本检查程序是否存在? 2032
如何在Vim中进行不区分大小写的搜索 1579
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
尝试抓住加速我的代码? 1463
如何使用Sublime Text 2重新格式化HTML代码? 1282
如何在find中排除目录.命令 1250
如何查看运行我的脚本的Python版本? 1099