Flask and React-Spotify授权后处理令牌

时间:2020-03-26 01:10:18

标签: reactjs authentication flask jwt authorization

我已经在我的应用中(在Spotify Auth之前)实现了JWT来进行用户登录,

烧瓶

@auth_blueprint.route('/auth/login', methods=['POST'])
def login_user():
    # get post data
    post_data = request.get_json()
    response_object = {
        'status': 'fail',
        'message': 'Invalid payload.'
    }
    if not post_data:
        return jsonify(response_object), 400
    email = post_data.get('email')
    password = post_data.get('password')
    try:
        # fetch the user data
        user = User.query.filter_by(email=email).first()
        if user and bcrypt.check_password_hash(user.password, password):
            auth_token = user.encode_auth_token(user.id)
            if auth_token:
                response_object['status'] = 'success'
                response_object['message'] = 'Successfully logged in.'
                response_object['auth_token'] = auth_token.decode()
                return jsonify(response_object), 200
        else:
            response_object['message'] = 'User does not exist.'
            return jsonify(response_object), 404
    except Exception:
        response_object['message'] = 'Try again.'
        return jsonify(response_object), 500

这些是我的SQLAlchemy User(db.Model)

的方法
def encode_auth_token(self, user_id):
        """Generates the auth token"""
        try:
            payload = {
                'exp': datetime.datetime.utcnow() + datetime.timedelta(
                    days=current_app.config.get('TOKEN_EXPIRATION_DAYS'), 
                    seconds=current_app.config.get('TOKEN_EXPIRATION_SECONDS')
                ),
                'iat': datetime.datetime.utcnow(),
                'sub': user_id
            }
            return jwt.encode(
                payload,
                current_app.config.get('SECRET_KEY'),
                algorithm='HS256'
            )
        except Exception as e:
            return e

@staticmethod
def decode_auth_token(auth_token):
        """
        Decodes the auth token - :param auth_token: - :return: integer|string
        """
        try:
            payload = jwt.decode(
                auth_token, current_app.config.get('SECRET_KEY'))
            return payload['sub']
        except jwt.ExpiredSignatureError:
            return 'Signature expired. Please log in again.'
        except jwt.InvalidTokenError:
            return 'Invalid token. Please log in again.'

反应

App.jsx

  loginUser(token) {
    window.localStorage.setItem('authToken', token);
    this.setState({ isAuthenticated: true });
    this.getUsers();
    this.createMessage('Welcome', 'success');
  };

(...)

<Route exact path='/login' render={() => (
  <Form
    isAuthenticated={this.state.isAuthenticated}
    loginUser={this.loginUser}
  />
)} />

Form.jsx

handleUserFormSubmit(event) {
    event.preventDefault();
    const data = {
      email: this.state.formData.email,
      password: this.state.formData.password
    };
    const url = `${process.env.REACT_APP_WEB_SERVICE_URL}/auth/${formType.toLowerCase()}`;
    axios.post(url, data)
      .then((res) => {
        this.props.loginUser(res.data.auth_token);
    })

第三方授权+第二个应用程序身份验证

现在,我想在Spotify回调之后添加第二层身份验证并处理令牌,如下所示:

@spotify_auth_bp.route("/callback", methods=['GET', 'POST'])
def spotify_callback():

    # Auth Step 4: Requests refresh and access tokens
    SPOTIFY_TOKEN_URL = "https://accounts.spotify.com/api/token"

    CLIENT_ID =   os.environ.get('SPOTIPY_CLIENT_ID')
    CLIENT_SECRET = os.environ.get('SPOTIPY_CLIENT_SECRET')
    REDIRECT_URI = os.environ.get('SPOTIPY_REDIRECT_URI')

    auth_token = request.args['code']

    code_payload = {
        "grant_type": "authorization_code",
        "code": auth_token,
        "redirect_uri": REDIRECT_URI,
        'client_id': CLIENT_ID,
        'client_secret': CLIENT_SECRET,
    }

    post_request = requests.post(SPOTIFY_TOKEN_URL, data=code_payload)

    # Auth Step 5: Tokens are Returned to Application
    response_data = json.loads(post_request.text)

    access_token = response_data["access_token"]
    refresh_token = response_data["refresh_token"]
    token_type = response_data["token_type"]
    expires_in = response_data["expires_in"]

    # At this point, there is to generate a custom token for the frontend
    # Either a self-contained signed JWT or a random token?
    # In case the token is not a JWT, it should be stored in the session (in case of a stateful API)
    # or in the database (in case of a stateless API)
    # In case of a JWT, the authenticity can be tested by the backend with the signature so it doesn't need to be stored at all?

    res = make_response(redirect('http://localhost/about', code=302))

    return res

注意:这是获取新Spotify令牌的可能端点:

@spotify_auth_bp.route("/refresh_token", methods=['GET', 'POST'])
def refresh_token():
        SPOTIFY_TOKEN_URL = "https://accounts.spotify.com/api/token"
        CLIENT_ID =   os.environ.get('SPOTIPY_CLIENT_ID')
        CLIENT_SECRET = os.environ.get('SPOTIPY_CLIENT_SECRET')

        code_payload = {
            "grant_type": "refresh_token",
            "refresh_token": refresh_token,
        }

        encode = 'application/x-www-form-urlencoded'
        auth = base64.b64encode("{}:{}".format(CLIENT_ID, CLIENT_SECRET).encode())
        headers = {"Content-Type" : encode, "Authorization" : "Basic {}".format(auth)} 

        post_request = requests.post(SPOTIFY_TOKEN_URL, data=code_payload, headers=headers)
        response_data = json.loads(post_request.text)

        access_token = response_data["access_token"]
        refresh_token = response_data["refresh_token"]
        token_type = response_data["token_type"]
        expires_in = response_data["expires_in"]

        return access_token

在Spotify回调后处理令牌的最佳方法是什么?

考虑到用户登录应用程序后,他还将不间断地使用Spotify登录,必须每60分钟刷新一次Spotify的访问令牌:

  • 授权代码是否仅用于保护服务器之间的机密信息以保护秘密的应用程序凭据,然后在前端放置令牌是安全的?

  • 我应该同时将Access令牌和刷新令牌都存储在前端,并拥有无状态JWT吗?

  • 我应该只在拥有状态JWT的情况下在数据库中仅保留临时访问令牌并保持刷新令牌吗?

  • 我应该选择一个会话,而仅保留在服务器端吗?

在这里处理我的敏感数据最安全的方法是什么?而且,考虑到上面的代码,怎么办?

1 个答案:

答案 0 :(得分:5)

这里有很多问题!让我们一一介绍:

授权代码是否仅是服务器到服务器的流程以保护秘密的应用程序凭据,然后在前端放置令牌是安全的?

Authorization Code授权中,您必须将Authorization Code换成令牌。这是通过请求/tokengrant_typeauthorization_code)来完成的,它要求您的client_id client_secret是秘密的存储在您的服务器中(也就是您的React Web应用程序中不公开)。在这种情况下,确实是服务器到服务器。

我是否应该将Access令牌和刷新令牌都存储在前端,并拥有无状态JWT?

在您的情况下,我会说。如果令牌将用于在服务器端向Spotify发出一些API请求,请在服务器端保留access_tokenrefresh_token

但是,那不再不是无状态了吗?的确如此。

您可以做什么“无状态”?

如果您真的想要/需要无状态令牌,恕我直言,您可以将access_token存储在具有以下选项的Cookie中(这是强制性的):

  • 安全:仅通过HTTPS发送的Cookie
  • HttpOnly:无法通过Javascript访问
  • SameSite:最好严格! (这取决于您是否需要CORS)

PRO:

  • 它是无状态的

CON:

  • 可能是一个巨大的cookie。
  • 任何访问您计算机的人都可以获取access_token,就像会话cookie一样。到期时间在这里很重要。另请参阅:https://stackoverflow.com/a/41076836/2437450
  • 还有别的吗???受到挑战。

refresh_token的情况。

我建议在服务器端存储刷新令牌,因为它通常是使用寿命很长的令牌。

access_token到期后该怎么办?

当请求带有过期的access_token时,您可以简单地用服务器端存储的access_token刷新refresh_token,执行该工作,并以新的{ {1}}通过access_token标头存储。

关于JWT的补充说明

如果您一直有JWT并将它们存储在仅Http的cookie中,您可能会说您无法知道是否已从React应用程序登录。 好吧,我已经在JWT上尝试了一个技巧,这很不错。

JWT由3部分组成;标头,有效负载和签名。您实际上要在Cookie中保护的是签名。确实,如果您没有正确的签名,那么JWT就是没有用的。因此,您可以做的是拆分JWT并仅使签名为Http-Only。

在您的情况下,其外观应为:

Set-Cookie

您将有3个Cookie:

  • @app.route('/callback') def callback(): # (...) access_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiI0MiIsIm5hbWUiOiJSYXBoYWVsIE1lZGFlciJ9.V5exVQ92sZRwRxKeOFxqb4DzWaMTnKu-VmhW-r1pg8E' a11n_h, a11n_d, a11n_s = access_token.split('.') response = redirect('http://localhost/about', 302) response.set_cookie('a11n.h', a11n_h, secure=True) response.set_cookie('a11n.d', a11n_d, secure=True) response.set_cookie('a11n.s', a11n_s, secure=True, httponly=True) return response :标题(选项:安全)
  • a11n.h:有效负载(选项:安全)
  • a11n.d:签名(选项:安全,仅HTTP

结果是:

    可以从您的React应用访问
  • a11n.s cookie(您甚至可以从中获取userinfo)
  • a11n.d cookie无法通过Javascript访问
  • 您必须先在服务器端从cookie s 重新组装a11n.s,然后再向Spotify发送请求

重新组装access_token

access_token

希望对您有帮助!

免责声明:

代码示例需要改进(错误处理,检查等)。它们只是说明流程的示例。