Django REST框架-来自外部提供者的OAuth2消费者API

最近，OAuth 2.0授权框架提出了一种称为OAuth 2.0令牌自省(RFC 7662)的规范，它定义了一种协议，允许授权的受保护资源查询授权服务器，以确定由OAuth 2.0客户端呈现给它们的给定令牌的元数据集合。

这样可以解决你的问题。

它由大多数知名的OAuth 2.0提供商实现，如:

< li>Amazon Cognito 秋田犬 < li>Auth0 < li>Google云身份

并且可以很容易地与您的Django Rest框架API资源集成。

在Django的用例中，开源库Django OAuth Toolkit也可以完美地完成这项工作。请注意，使用开源库会带来维护和支持的隐性成本，有时很少可用。

令牌检查可以通过以下简单步骤实现：

> < li>

设置认证服务器，并在创建OAuth2访问令牌时为资源服务器添加一个额外的作用域< code >自省。

'SCOPES': {
    'read': 'Read scope',
    'write': 'Write scope',
    'introspection': 'Introspect token scope',
    ...
}

OAuth提供程序必须有一个路径为< code>/introspect/的endpoint，它将在该endpoint监听任何自检请求。例如URL:< code > https://example . org/o/introspect/

例如。请求：

POST /o/introspect/ HTTP/1.1
Host: www.example.org
Accept: application/json
Content-Type: application/x-www-form-urlencoded
Authorization: Bearer 5HtUoltwKYKHnfmxRcJu

token=pOt6V4KXoMbhAraTIyA4zgyxH

注意：令牌是访问令牌，承载令牌是Base64（$CLIENT_ID：$CLIENT_SECRET）

对上述示例请求的响应如下：

HTTP/1.1 200 OK
Content-Type: application/json
{
  "client_id": "o7dfkjhvHt74F9W20",
  "scope": "read write xyz",
  "username": "john",
  "exp": 1519123438,
  "active": true
}

使用与身份验证服务器相同的所有其他设置设置资源服务器，然后将以下配置添加到设置中：

a、 资源服务器问诊URL，例如https://example.org/o/introspect/

b. 资源服务器身份验证令牌，例如 tBvd837tbdHssyT6bhAr9H

或资源服务器自检凭据（即客户端id

对于不同的身份验证提供者，上述步骤的实现可能会有所不同。但是它给出了如何按照rfc标准完成整个配置的基本概念。

我发现了这些相关的问题，这证实了我认为是我这边的一个解释错误:

• 如何验证资源服务器的OAuth 2.0访问令牌
• https://softwareengineering.stackexchange.com/questions/159119/oauth2-flow-does-the-server-validate-with-the-auth-server

基本上，标准没有定义这样的功能…这太神奇了，前提是很多人迟早会达到这一点。

最奇怪的是，我找不到任何django插件来执行此操作……我们是前两个需要使用同一个身份验证服务器对多个API进行身份验证的人吗？

查看代码https://github.com/tomchristie/django-rest-framework/blob/master/rest_framework/authentication.py#L290这似乎是不可能的。django-rest框架内部访问提供者的数据库表以检查令牌，并使用这些数据验证请求。

对我来说，这完全违背了OAuth的目的，但我们开始了。