python-social-auth 没有得到正确的 Google OAuth2 详细信息

python-social-auth not getting correct Google OAuth2 details

我想使用 python-social-auth 功能在 Django 中登录 Google Plus 登录用户。从我的网站登录时,一切正常,正确的详细信息已添加到数据库中。

但是,我也想从我的 Android 应用程序进行身份验证。用户登录应用程序,然后将访问令牌发送到 django API,后者在以下代码中处理登录过程,改编自 the documentation

@csrf_exempt
@serengeti_api_request
@psa('social:complete')
def login_social_token(request, backend):
    # Ensure the token has been specified.
    token = request.META.get('HTTP_ACCESSTOKEN')
    if token is None:
        raise SerengetiApiRequestException('Access token is missing!')

    # Login the user for this session
    user = request.backend.do_auth(token)
    if user is None:
        raise SerengetiApiRequestException('Could not authenticate user!')

    login(request, user)

    # Store the email address if one has been specified (e.g. Twitter)
    email = request.META.get('HTTP_EMAIL')
    if email is not None:
        user.email = email
        user.save()

    # Prepare the parameters to be returned
    response = dict({
        'id': user.id,
        'first_name': user.first_name,
        'last_name': user.last_name,
        'api_key': request.session.session_key,
    })

    # Return a 200 status code to signal success.
    return HttpResponse(json.dumps(response, indent=4), status=200)

从网站登录时,social_auth_usersocialauth table 包含:

id | provider      | uid       | extra_data
==========================================
10 | google-oauth2 | <myemail> | {"token_type": "Bearer", "access_token": "<token>", "expires": 3600}

然而,当使用上述功能从应用程序登录时,操作完成正常,但 table 中的条目如下所示:

id | provider      | uid     | extra_data
=========================================
10 | google-oauth2 | <empty> | {"access_token": "", "expires": null}

此外,auth_user table 包含一个 username 类似 eeed494412obfuscated48bc47dd9b 而不是 Google Plus 用户名,并且 email 字段是空.

我哪里做错了,我怎样才能获得与网站上相同的功能?

我想提一下,我已经从 Android 应用程序实现了 Facebook 和 Twitter 身份验证,它们调用上述函数并存储正确的详细信息,只有 Google Plus 导致问题.

我有一个使用 google oauth2 身份验证的项目(实际上不是 运行)。我把我的配置文件留在这里,所以它可能对你有用(我只使用 oauth2,所以有些事情可能会有所不同):

AUTHENTICATION_BACKENDS = (
    'social.backends.google.GoogleOAuth2',  # /google-oauth2
    'django.contrib.auth.backends.ModelBackend',
)
SOCIAL_AUTH_GOOGLE_OAUTH2_KEY = 'your google oauth 2 key'
SOCIAL_AUTH_GOOGLE_OAUTH2_SECRET = 'your secret google oauth 2 key'

SOCIAL_AUTH_PIPELINE = (
    'social.pipeline.social_auth.social_details',
    'social.pipeline.social_auth.social_uid',
    'social.pipeline.social_auth.auth_allowed',
    'social.pipeline.social_auth.associate_by_email',
    'social.pipeline.social_auth.social_user',
    'social.pipeline.user.get_username',
    'social.pipeline.user.create_user',
    'social.pipeline.social_auth.associate_user',
    'social.pipeline.social_auth.load_extra_data',
    'social.pipeline.user.user_details'
)

我也附加了视图(请注意,我使用的是 django rest 框架)。

class ObtainAuthToken(APIView):
    permission_classes = (permissions.AllowAny,)
    serializer_class = AuthTokenSerializer
    model = Token

    # Accept backend as a parameter and 'auth' for a login / pass
    def post(self, request, backend):

        if backend == 'auth':  # For admin purposes
            serializer = self.serializer_class(data=request.DATA)
            if serializer.is_valid():
                token, created = Token.objects.get_or_create(user=serializer.object['user'])
                return Response({'token': token.key})
            return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

        else:
            # Here we call PSA to authenticate like we would if we used PSA on server side.
            user = register_by_access_token(request, backend)

            # If user is active we get or create the REST token and send it back with user data
            if user and user.is_active:
                token, created = Token.objects.get_or_create(user=user)
                return Response({'id': user.id, 'name': user.username, 'token': token.key})
            else:
                return Response("Bad Credentials, check the Access Token and/or the UID", status=403)


@strategy('social:complete')
def register_by_access_token(request, backend):
    # This view expects an access_token GET parameter
    token = request.GET.get('access_token')
    backend = request.strategy.backend
    user = backend.do_auth(access_token=token, backend=backend)
    if user:
        # login(request, user) #Only useful for web..
        return user
    else:
        return None

并在 urls.py 中:

urlpatterns = patterns(
    '',
    url(r'^login/(?P<backend>[\w-]+)$', ObtainAuthToken.as_view(), ),
)

很抱歉附上所有这些代码,但没有提供具体的答案,但需要更多数据,因为错误可能来自许多来源(错误的 api 键、错误的设置配置、管道..)。希望代码对您有所帮助。

我终于自己弄明白了。根据 this article in the Android's Google Plus documentation, I also need to request the plus.profile.emails.read scope 在 Android 应用程序中提出请求时。一旦我添加了这个,python-social-auth 代码就设法将电子邮件正确地存储在 uid 字段中。这允许它识别同一用户,无论是从网站还是应用程序登录,这正是我所需要的。这是我使用的范围字符串:

String scopes = "oauth2:" + Plus.SCOPE_PLUS_LOGIN + " https://www.googleapis.com/auth/plus.profile.emails.read";

但是,extra_data 字段仍然包含我上面提到的值。我认为这是由于还需要请求离线访问,这将允许 Google Plus 将缺失的字段传回给 python-django-authMore details can be found here.

只是想分享一种替代方法。这个例子非常原始,并没有涵盖所有情况(例如,身份验证失败)。但是,它应该足够深入地了解如何完成 OAuth2 身份验证。

获取客户​​端 ID

从 OAuth2 服务提供商(例如 Google)获取客户端 ID 并配置重定向 URL。

我假设你已经这样做了。

创建登录/注册link

您需要在您的视图中生成登录/注册link。它应该是这样的:

https://accounts.google.com/o/oauth2/auth?response_type=code&client_id={{CLIENT_ID}}&redirect_uri={{REDIRECT_URL}}&scope=email

{{CLIENT_ID}}{{REDIRECT_URL}} 替换为您在上一步中获得的详细信息。

创建新视图

urls.py 中添加如下内容:

url(r'^oauth2/google/$', views.oauth2_google),

在您的 views.py 中创建一个方法:

def oauth2_google(request):

    # Get the code after a successful signing
    # Note: this does not cover the case when authentication fails
    CODE = request.GET['code']

    CLIENT_ID = 'xxxxx.apps.googleusercontent.com' # Edit this
    CLIENT_SECRET = 'xxxxx' # Edit this
    REDIRECT_URL = 'http://localhost:8000/oauth2/google' # Edit this

    if CODE is not None:
        payload = {
            'grant_type': 'authorization_code', 
            'code': CODE, 
            'redirect_uri': REDIRECT_URL, 
            'client_id': CLIENT_ID, 
            'client_secret': CLIENT_SECRET
            }

        token_details_request = requests.post('https://accounts.google.com/o/oauth2/token', data=payload)
        token_details = token_details_request.json()
        id_token = token_details['id_token']
        access_token = token_details['access_token']

        # Retrieve the unique identifier for the social media account
        decoded = jwt.decode(id_token, verify=False)
        oauth_identifier = decoded['sub']

        # Retrieve other account details
        account_details_request = requests.get('https://www.googleapis.com/plus/v1/people/me?access_token=' + access_token)
        account_details = account_details_request.json()
        avatar = account_details['image']['url']
        
        # Check if the user already has an account with us
        try:
            profile = Profile.objects.get(oauth_identifier=oauth_identifier)
            profile.avatar = avatar
            profile.save()
            user = profile.user
        except Profile.DoesNotExist:
            user = User.objects.create_user()           
            user.save()
            profile = Profile(user=user, oauth_identifier=oauth_identifier, avatar=avatar)
            profile.save()

        user.backend = 'django.contrib.auth.backends.ModelBackend'
        login(request, user)

        return redirect('/')

您可能需要以下导入:

from django.shortcuts import redirect
import jwt # PyJWT==0.4.1
import requests # requests==2.5.0
import json

我 运行 遇到了同样的问题。 google 用户的 extra_fields 没有被设置的原因是 python-social-auth 调用 google 服务器来设置这些东西,但是如果你仅使用 access_token 重新调用 Google,获取 Google 到 return refresh_token 以及所有其他与身份验证相关的字段是不够的。您可以通过手动设置来破解它,但是您最终会使用与客户端相同的访问和刷新令牌。 Google 建议您使用客户端生成一个具有您需要的任何范围的新授权令牌,然后将该授权令牌发送到服务器,然后服务器会将其转换为访问和刷新令牌。有关详细信息,请参见此处(阅读内容有点复杂):https://developers.google.com/identity/protocols/CrossClientAuth

如果您真的致力于在 python-social-auth 所做的范围内执行此操作,我建议您制作一个自定义身份验证后端,将其命名为 GoogleOAuth2AuthorizationCodeAuthsee here for details).

更懒惰且可能容易破解和粗暴的方法是 post access_token 到我的服务器以 [​​=30=] 用户身份登录(你正在做的似乎是正确的),然后稍后,从客户端获取另一个 授权令牌 以便 post 到一个单独的端点,然后我将处理变成另一个凭证连接到用户配置文件的模型对象。

在 DjangoRestFramework 中:

class GoogleAuthorizationCodeView(APIView):
    def post(self, request, format=None):
        credentials = flow.step2_exchange(code)
        saved_creds = GoogleCredentials.objects.create(credentials=credentials)
        return Response(status=status.HTTP_201_CREATED)