OAuth 2.0 と OpenID Connect をサポートする認可サーバーの Python による実装です。
この実装は Django API と authlete-python-django ライブラリを用いて書かれています。 Django は Python で書かれた Web フレームワークの一つです。 authlete-python-django は、認可サーバーとリソースサーバーを実装するためのユーティリティークラス群を提供するオープンソースライブラリです。 authlete-python-django は authlete-python ライブラリを使用しており、こちらは Authlete Web API とやりとりするためのオープンソースライブラリです。
この認可サーバーにより発行されたアクセストークンは、Authlete をバックエンドサービスとして利用しているリソースサーバーに対して使うことができます。 django-resource-server はそのようなリソースサーバーの実装です。 OpenID Connect Core 1.0 で定義されているユーザー情報エンドポイントをサポートし、 保護リソースエンドポイントの実装例も含んでいます。
Apache License, Version 2.0
https://github.com/authlete/django-oauth-server
Authlete (オースリート) は、OAuth 2.0 & OpenID Connect の実装をクラウドで提供するサービスです (概説)。 Authlete が提供するデフォルト実装を使うことにより、もしくはこの実装 (django-oauth-server) でおこなっているように Authlete Web API を用いて認可サーバーを自分で実装することにより、OAuth 2.0 と OpenID Connect の機能を簡単に実現できます。
この認可サーバーの実装を使うには、Authlete から API
クレデンシャルズを取得し、authlete.ini に設定する必要があります。
API クレデンシャルズを取得する手順はとても簡単です。
単にアカウントを登録するだけで済みます (サインアップ)。
詳細はクイックガイドを参照してください。
-
authlete-python ライブラリと authlete-python-django ライブラリをインストールします。
$ pip install authlete $ pip install authlete-django -
この認可サーバーの実装をダウンロードします。
$ git clone https://github.com/authlete/django-oauth-server.git $ cd django-oauth-server -
設定ファイルを編集して API クレデンシャルズをセットします。
$ vi authlete.ini -
テスト用のユーザーアカウントを作成します。
$ python manage.py migrate $ python manage.py shell >>> from django.contrib.auth.models import User >>> user = User() >>> user.username = 'john' >>> user.first_name = 'John' >>> user.last_name = 'Smith' >>> user.email = '[email protected]' >>> user.set_password('john') >>> user.is_active = True >>> user.save() >>> quit() -
http://localhost:8000で認可サーバーを起動します。$ python manage.py runserver
この実装は、下表に示すエンドポイントを公開します。
| エンドポイント | パス |
|---|---|
| 認可エンドポイント | /api/authorization |
| トークンエンドポイント | /api/token |
| JWK Set エンドポイント | /api/jwks |
| 設定エンドポイント | /.well-known/openid-configuration |
| 取り消しエンドポイント | /api/revocation |
| イントロスペクションエンドポイント | /api/introspection |
認可エンドポイントとトークンエンドポイントは、RFC 6749、OpenID Connect Core 1.0、 OAuth 2.0 Multiple Response Type Encoding Practices、RFC 7636 (PKCE)、その他の仕様で説明されているパラメーター群を受け付けます。
JWK Set エンドポイントは、クライアントアプリケーションが (1) この OpenID プロバイダーによる署名を検証できるようにするため、また (2) この OpenID へのリクエストを暗号化できるようにするため、JSON Web Key Set ドキュメント (JWK Set) を公開します。
設定エンドポイントは、この OpenID プロバイダーの設定情報を OpenID Connect Discovery 1.0 で定義されている JSON フォーマットで公開します。
取り消しエンドポイントはアクセストークンやリフレッシュトークンを取り消すための Web API です。 その動作は RFC 7009 で定義されています。
イントロスペクションエンドポイントはアクセストークンやリフレッシュトークンの情報を取得するための Web API です。 その動作は RFC 7662 で定義されています。
次の例は Implicit フローを用いて認可エンドポイントからアクセストークンを取得する例です。
{クライアントID} となっているところは、あなたのクライアントアプリケーションの実際のクライアント
ID で置き換えてください。 クライアントアプリケーションについては、クイックガイド
および開発者コンソールのドキュメントを参照してください。
http://localhost:8000/api/authorization?client_id={クライアントID}&response_type=token
上記のリクエストにより、認可ページが表示されます。
認可ページでは、ログイン情報の入力と、"Authorize" ボタン (認可ボタン) もしくは "Deny" ボタン
(拒否ボタン) の押下が求められます。 「実行方法」で示した通りにユーザーアカウントを作成済みであれば、
ログイン ID とパスワードはどちらも john です。
一度ログインが成功すると、認可ページはログインフォームを表示しないかもしれません。
ログインフォームを強制的に表示させるには、認可リクエストの末尾に &prompt=login を追加してください。
この実装は、Amazon Cognito をユーザーデータベースとして使うサンプルコードを含んでいます。 サンプルコードを有効にするには、次の手順を踏んでください。
-
AWS SDK for Python (Boto3) をインストールします。
$ pip install boto3 -
django_oauth_server/settings.pyを開き、AUTHENTICATION_BACKENDSにbackends.CognitoBackendを追加します。AUTHENTICATION_BACKENDS = ('backends.CognitoBackend',) -
同ファイル内の
COGNITO_USER_POOL_IDとCOGNITO_CLIENT_IDを適切に設定します。COGNITO_USER_POOL_ID = 'YOUR_COGNITO_USER_POOL_ID' COGNITO_CLIENT_ID = 'YOUR_COGNITO_CLIENT_ID'
Cognito ユーザープールに紐付く Cognito クライアントが ALLOW_ADMIN_USER_PASSWORD_AUTH
をサポートしなければならないこと、及び、AWS アカウントが Cognito の
AdminInitiateAuth API と AdminGetUser API
を呼ぶのに必要な権限を持っている必要があることに注意してください。
詳細は Amazon Cognito と最新の OAuth/OIDC 仕様 を参照してください。
- Authlete - Authlete ホームページ
- authlete-python - Python 用 Authlete ライブラリ
- authlete-python-django - Django (Python) 用 Authlete ライブラリ
- django-resource-server - リソースサーバーの実装
コンタクトフォーム : https://www.authlete.com/ja/contact/
| 目的 | メールアドレス |
|---|---|
| 一般 | [email protected] |
| 営業 | [email protected] |
| 広報 | [email protected] |
| 技術 | [email protected] |