Django OAuth 2.0 授權機制實踐

14 分鐘閱讀

OAuth 2.0 授權機制已成為現代 Web 開發中不可或缺的一部分,有效保障資源安全和使用者隱私。本文將以 Django 框架為例,逐步解析 OAuth 2.0 授權碼流程的實踐細節,並介紹如何利用 Django OAuth Toolkit 和 requests-oauthlib 函式庫簡化開發流程。同時,文章也將探討常見的 Mallory 攻擊及其防禦策略,確保開發者能夠構建安全可靠的授權系統。最後,文章提供了豐富的程式碼範例和圖表,幫助開發者更直觀地理解 OAuth 2.0 的運作機制,並快速上手實踐。

使用 @user_passes_test 裝飾器

@user_passes_test 裝飾器可以用來授權使用者存取某些檢視。它需要一個測試函式作為引數,該函式會接收使用者物件並傳回一個布林值,表示使用者是否透過授權測試。

from django.http import JsonResponse
from django.contrib.auth.decorators import user_passes_test

def test_func(user):
    # 任意授權邏輯
    return user.is_superuser

@user_passes_test(test_func)
def user_passes_test_view(request):
    # 只有透過授權測試的使用者可以存取這個檢視
    return JsonResponse(data)

條件式渲染

條件式渲染是指根據使用者的授權來決定是否顯示某些控制元件或連結。Django 的預設範本引擎提供了 perms 變數,允許您存取目前使用者的授權。

{% if perms.messaging.send_authenticatedmessage %}
    <a href='/authenticated_message_form/'>Send Message</a>
{% endif %}

測試授權

測試授權是確保您的系統正確實施授權機制的重要步驟。您可以使用 Django 的測試框架來測試授權。

class TestAuthorization(TestCase):
    def setUp(self):
        # 建立和驗證一個新的使用者
        self.user = User.objects.create_user('charlie', 'charlie@example.com', 'password')
        self.client.force_login(self.user)

    def test_authorization(self):
        # 測試使用者是否可以存取某些資源
        response = self.client.get('/protected-resource/')
        self.assertEqual(response.status_code, 403)

        # 授予使用者存取某些資源的授權
        self.user.user_permissions.add(Permission.objects.get(codename='can_view_messages'))

        # 測試使用者是否可以存取某些資源
        response = self.client.get('/protected-resource/')
        self.assertEqual(response.status_code, 200)

授權與驗證:最佳實踐與反模式

在上一節中,我們探討瞭如何實作授權和驗證。授權是確保使用者只有存取自己被授權的資源的能力。雖然授權看起來是一個簡單的概念,但實際上,很多組織都沒有做好這件事。

授權的重要性

授權是確保系統安全的重要一環。它可以防止未經授權的使用者存取敏感資源,從而保護系統免受攻擊。授權的目的是確保使用者只有存取自己被授權的資源的能力。

反模式:授權不足

授權不足是指系統沒有正確實作授權,從而允許未經授權的使用者存取敏感資源。這種情況可能發生在系統設計或實作上存在缺陷的情況下。

最佳實踐:授權的規則

要避免授權不足,需要遵循一些最佳實踐。以下是一些規則:

  1. 最小許可權原則:使用者應該只有存取自己需要的資源的許可權。
  2. 角色基礎存取控制:使用者應該根據自己的角色被授予相應的許可權。
  3. 動態授權:授權應該根據使用者的行為和系統的狀態動態更新。

案例研究:Twitter 密碼重置事件

在 2020 年 7 月,Twitter 的內部管理系統被攻擊者入侵。攻擊者重置了 130 個知名 Twitter 使用者的密碼,包括埃隆·馬斯克、喬·拜登和比爾·蓋茨等人的帳戶。這個事件表明,授權和驗證的重要性。

內容解密:

在這個章節中,我們探討了授權和驗證的重要性。授權是確保使用者只有存取自己被授權的資源的能力。透過遵循最佳實踐和避免反模式,可以確保系統的安全性和完整性。

# 授權的實作
from django.contrib.auth.models import User, Permission

# 建立使用者
user = User.objects.create_user('charlie', password='password')

# 授予使用者許可權
permission = Permission.objects.get(codename='view_authenticatedmessage')
user.user_permissions.add(permission)

# 驗證使用者的許可權
if user.has_perm('view_authenticatedmessage'):
    print("使用者有許可權")
else:
    print("使用者沒有許可權")

圖表翻譯:

以下是授權流程的視覺化圖表:

  flowchart TD
    A[使用者請求] --> B[授權]
    B --> C[驗證]
    C --> D[授予許可權]
    D --> E[存取資源]

這個圖表表明瞭授權的流程,從使用者請求開始,到授予許可權和存取資源為止。

授權與OAuth 2:保護資源的關鍵

在前一章中,我們探討了授權的基本概念,包括使用者、群組和許可權。現在,我們將深入探討OAuth 2,一個廣泛使用的授權協定,允許使用者授權第三方存取受保護的資源。

授權的重要性

授權是任何安全系統的關鍵元件。它決定了使用者可以執行哪些動作,從而保護系統和資源免受未經授權的存取。授權的目標是確保使用者只能存取他們被授權的資源和功能。

OAuth 2簡介

OAuth 2是一個授權協定,允許使用者授權第三方存取受保護的資源,而無需暴露他們的驗證憑據。這個協定廣泛被使用於網路應用程式,包括社交媒體、雲端儲存和API。

註冊OAuth使用者端

要使用OAuth 2,第一步是註冊OAuth使用者端。這涉及在授權伺服器上建立一個使用者端ID和使用者端密碼。使用者端ID和使用者端密碼用於識別使用者端和驗證其請求。

請求授權

一旦使用者端註冊完成,下一步就是請求授權。這涉及將使用者重定向到授權伺服器的授權頁面,在那裡他們可以授權或拒絕使用者端的請求。

授權流程

授權流程涉及以下步驟:

  1. 使用者端將使用者重定向到授權伺服器的授權頁面。
  2. 使用者授權或拒絕使用者端的請求。
  3. 如果使用者授權,使用者端的請求,授權伺服器將使用者重定向回使用者端的重定向URI。
  4. 使用者端從授權伺服器接收授權碼。
  5. 使用者端使用授權碼換取存取令牌。
  6. 使用者端使用存取令牌存取受保護的資源。

OAuth 2的優點

OAuth 2具有以下優點:

  • 安全:OAuth 2允許使用者授權第三方存取受保護的資源,而無需暴露他們的驗證憑據。
  • 靈活:OAuth 2支援多種授權流程,包括授權碼流程、隱式流程和客戶端憑證流程。
  • 廣泛支援:OAuth 2被廣泛支援,包括大多數網路應用程式和API。
內容解密:

在這個章節中,我們探討了OAuth 2的基本概念,包括授權的重要性、OAuth 2的簡介、註冊OAuth使用者端、請求授權和授權流程。同時,我們也討論了OAuth 2的優點,包括安全、靈活和廣泛支援。透過這個章節,讀者可以瞭解OAuth 2的工作原理和優點,從而建立更安全和更靈活的授權系統。

  flowchart TD
    A[使用者] --> B[授權伺服器]
    B --> C[授權碼]
    C --> D[使用者端]
    D --> E[存取令牌]
    E --> F[受保護的資源]

圖表翻譯:

這個圖表展示了OAuth 2的授權流程。使用者首先被重定向到授權伺服器,在那裡他們可以授權或拒絕使用者端的請求。如果使用者授權,使用者端的請求,授權伺服器將使用者重定向回使用者端的重定向URI。使用者端從授權伺服器接收授權碼,然後使用授權碼換取存取令牌。最後,使用者端使用存取令牌存取受保護的資源。這個圖表簡單明瞭地展示了OAuth 2的授權流程,幫助讀者更好地理解OAuth 2的工作原理。

OAuth 2.0 授權協定

OAuth 2.0 是一個業界標準的授權協定,允許使用者授權第三方存取受保護的資源,而無需暴露其驗證憑證。這個協定由玄貓定義,為授權第三方存取受保護資源提供了一個安全且標準化的方法。

OAuth 2.0 的角色

在 OAuth 2.0 中,有四個主要角色:

  1. 資源擁有者(Resource Owner):通常是終端使用者,具有授權存取受保護資源的權力。
  2. 授權伺服器(Authorization Server):負責授權第三方存取受保護資源。
  3. 資源伺服器(Resource Server):負責保護受保護資源。
  4. 第三方應用(Client):想要存取受保護資源的應用程式。

授權型別

OAuth 2.0 定義了四種授權型別:

  1. 授權碼授權(Authorization Code Grant):適用於網站、行動應用和瀏覽器基礎應用。
  2. 隱含授權(Implicit Grant):曾經是行動應用和瀏覽器基礎應用的推薦授權型別,但現在已經棄用。
  3. 密碼授權(Password Grant):移除了授權伺服器的需求,但具有安全性風險。
  4. 使用者憑證授權(Client Credentials Grant):適用於資源擁有者和第三方應用是相同實體的情況。

授權碼授權流程

授權碼授權是 OAuth 2.0 中最常用的授權型別。以下是授權碼授權流程的簡要概述:

  1. 第三方應用要求使用者授權存取受保護資源。
  2. 使用者授權第三方應用存取受保護資源。
  3. 授權伺服器發放授權碼給第三方應用。
  4. 第三方應用使用授權碼換取存取令牌。
  5. 第三方應用使用存取令牌存取受保護資源。
內容解密:

授權碼授權流程可以使用以下程式碼實作:

import requests

# 第三方應用要求使用者授權存取受保護資源
authorization_url = "https://example.com/authorize"
response = requests.get(authorization_url)

# 使用者授權第三方應用存取受保護資源
authorization_code = response.json()["code"]

# 授權伺服器發放授權碼給第三方應用
token_url = "https://example.com/token"
response = requests.post(token_url, data={"code": authorization_code})

# 第三方應用使用授權碼換取存取令牌
access_token = response.json()["access_token"]

# 第三方應用使用存取令牌存取受保護資源
protected_resource_url = "https://example.com/protected-resource"
response = requests.get(protected_resource_url, headers={"Authorization": f"Bearer {access_token}"})

圖表翻譯:

以下是授權碼授權流程的 Mermaid 圖表:

  sequenceDiagram
    participant 第三方應用
    participant 授權伺服器
    participant 使用者
    participant 受保護資源伺服器

    第三方應用->>授權伺服器: 請求授權
    授權伺服器->>使用者: 請求授權
    使用者->>授權伺服器: 授權
    授權伺服器->>第三方應用: 發放授權碼
    第三方應用->>授權伺服器: 換取存取令牌
    授權伺服器->>第三方應用: 發放存取令牌
    第三方應用->>受保護資源伺服器: 存取受保護資源

授權碼流程:OAuth 的核心

授權碼流程是 OAuth 中最常用的授權機制,玄貓將帶領您瞭解這個過程。

授權碼流程概述

授權碼流程涉及四個主要階段:

  1. 請求授權:OAuth 客戶端要求資源擁有者授權。
  2. 授予授權:資源擁有者授予 OAuth 客戶端授權。
  3. 執行令牌交換:OAuth 客戶端與授權伺服器進行令牌交換。
  4. 存取受保護資源:OAuth 客戶端使用取得的令牌存取受保護的資源。

請求授權

在這個階段,資源擁有者存取 OAuth 客戶端的網站。OAuth 客戶端會將資源擁有者導向授權伺服器的授權表單。這個表單由玄貓提供,資源擁有者可以在這裡授予或拒絕授權。

授予授權

在這個階段,資源擁有者會看到授權表單,並決定是否授予 OAuth 客戶端授權。授權伺服器會確保資源擁有者充分了解授權的內容。授權後,授權伺服器會將資源擁有者重新導向 OAuth 客戶端的網站。

執行令牌交換

OAuth 客戶端會向授權伺服器請求令牌交換,授權伺服器會根據資源擁有者的授權決定是否發放令牌。

存取受保護資源

OAuth 客戶端使用取得的令牌存取受保護的資源。這個過程確保資源擁有者的授權被尊重,同時也確保 OAuth 客戶端可以安全地存取受保護的資源。

內容解密:

授權碼流程是 OAuth 中最重要的機制,玄貓透過這個過程確保資源擁有者的授權被正確地處理和保護。每個階段都需要仔細設計,以確保資源擁有者的授權被尊重和保護。

圖表翻譯:

  flowchart TD
    A[資源擁有者] --> B[OAuth 客戶端]
    B --> C[授權伺服器]
    C --> D[授權表單]
    D --> E[授權碼]
    E --> F[令牌交換]
    F --> G[存取受保護資源]

這個圖表顯示了授權碼流程的各個階段,從資源擁有者開始,到存取受保護的資源為止。每個階段都需要仔細設計,以確保資源擁有者的授權被正確地處理和保護。

OAuth 授權碼流程

OAuth 授權碼流程是一種安全的授權機制,允許使用者授權第三方應用程式存取其資源,而不需要將其認證憑證(例如密碼)暴露給第三方應用程式。這個流程涉及四個角色:資源伺服器(Resource Server)、授權伺服器(Authorization Server)、使用者(User)和 OAuth 客戶端(OAuth Client)。

授權碼流程

授權碼流程的第一個階段是使用者要求第三方應用程式存取其資源。第三方應用程式將使用者重定向到授權伺服器的授權頁面,授權伺服器會要求使用者授權第三方應用程式存取其資源。

  flowchart TD
    A[使用者] --> B[第三方應用程式]
    B --> C[授權伺服器]
    C --> D[授權碼]
    D --> E[第三方應用程式]
    E --> F[存取令牌]
    F --> G[資源伺服器]

內容解密:

  1. 使用者要求第三方應用程式存取其資源。
  2. 第三方應用程式將使用者重定向到授權伺服器的授權頁面。
  3. 授權伺服器要求使用者授權第三方應用程式存取其資源。
  4. 使用者授權第三方應用程式存取其資源。
  5. 授權伺服器將授權碼傳送給第三方應用程式。
  6. 第三方應用程式使用授權碼換取存取令牌。
  7. 第三方應用程式使用存取令牌存取資源伺服器的資源。

存取令牌

存取令牌是授權伺服器傳送給第三方應用程式的令牌,允許第三方應用程式存取資源伺服器的資源。存取令牌通常有有限的有效期,第三方應用程式需要定期更新存取令牌。

圖表翻譯:

  sequenceDiagram
    participant 第三方應用程式
    participant 授權伺服器
    participant 資源伺服器
    Note over 第三方應用程式,授權伺服器: 授權碼流程
    第三方應用程式->>授權伺服器: 請求授權碼
    授權伺服器->>第三方應用程式: 授權碼
    第三方應用程式->>授權伺服器: 換取存取令牌
    授權伺服器->>第三方應用程式: 存取令牌
    第三方應用程式->>資源伺服器: 存取資源

實作 OAuth 授權碼流程

要實作 OAuth 授權碼流程,需要以下步驟:

  1. 註冊 OAuth 客戶端:第三方應用程式需要註冊 OAuth 客戶端,以獲得客戶端 ID 和客戶端密碼。
  2. 請求授權碼:第三方應用程式需要請求授權伺服器的授權碼。
  3. 換取存取令牌:第三方應用程式需要使用授權碼換取存取令牌。
  4. 存取資源:第三方應用程式需要使用存取令牌存取資源伺服器的資源。

OAuth 2.0 授權流程

OAuth 2.0 是一個授權框架,允許使用者授權第三方應用程式存取其私人資源,而不需要分享密碼。以下是 OAuth 2.0 授權流程的概述:

1. 客戶端註冊

第三方應用程式(客戶端)需要在授權伺服器(Authorization Server)上註冊,以獲得客戶端 ID 和客戶端密碼。

2. 授權請求

客戶端將使用者導向授權伺服器的授權頁面,請求使用者授權存取其私人資源。授權請求包含以下引數:

  • response_type: 授權碼(code)或存取令牌(token)
  • client_id: 客戶端 ID
  • redirect_uri: 授權伺服器授權後重定向的 URI
  • scope: 要存取的資源範圍
  • state: 用於防止 CSRF 攻擊的隨機字串

3. 使用者授權

使用者在授權頁面上授權存取其私人資源。

4. 授權碼

授權伺服器將授權碼(code)重定向到客戶端指定的 redirect_uri

5. 存取令牌

客戶端使用授權碼向授權伺服器請求存取令牌(token)。

6. 存取資源

客戶端使用存取令牌存取使用者的私人資源。

Django OAuth Toolkit

Django OAuth Toolkit 是一個 Django 套件,提供了 OAuth 2.0 授權伺服器和資源伺服器的實作。以下是 Django OAuth Toolkit 的一些特點:

  • 支援 OAuth 2.0 授權流程
  • 提供授權伺服器和資源伺服器的實作
  • 支援多種授權範圍(scope)
  • 支援 CSRF 防護

Requests-OAuthlib

Requests-OAuthlib 是一個 Python 套件,提供了 OAuth 1.0 和 OAuth 2.0 的實作。以下是 Requests-OAuthlib 的一些特點:

  • 支援 OAuth 1.0 和 OAuth 2.0
  • 提供授權請求和存取令牌的實作
  • 支援多種授權範圍(scope)
  • 支援 CSRF 防護

Mallory 攻擊

Mallory 攻擊是一種 CSRF 攻擊,攻擊者可以竊取使用者的授權碼或存取令牌。以下是 Mallory 攻擊的防禦措施:

  • 使用隨機字串(state)防止 CSRF 攻擊
  • 驗證授權碼或存取令牌的有效性
  • 使用 HTTPS 加密授權請求和存取令牌

程式碼範例

import requests
from requests_oauthlib import OAuth2Session

# 客戶端 ID 和密碼
client_id = "your_client_id"
client_secret = "your_client_secret"

# 授權伺服器 URL
authorization_url = "https://example.com/authorize"

# 重定向 URI
redirect_uri = "https://example.com/callback"

# 授權請求
oauth = OAuth2Session(client_id, redirect_uri=redirect_uri)
authorization_url, state = oauth.authorization_url(authorization_url)

# 使用者授權
print("請授權:", authorization_url)

# 授權碼
authorization_code = input("授權碼:")

# 存取令牌
token_url = "https://example.com/token"
token = oauth.fetch_token(token_url, code=authorization_code, client_secret=client_secret)

# 存取資源
protected_url = "https://example.com/protected"
response = oauth.get(protected_url)

print("存取資源:", response.text)

圖表翻譯

此圖表示了 OAuth 2.0 授權流程,包括客戶端註冊、授權請求、使用者授權、授權碼、存取令牌和存取資源。

  flowchart TD
    A[客戶端註冊] --> B[授權請求]
    B --> C[使用者授權]
    C --> D[授權碼]
    D --> E[存取令牌]
    E --> F[存取資源]

內容解密

OAuth 2.0 授權流程是一種安全的授權機制,允許使用者授權第三方應用程式存取其私人資源,而不需要分享密碼。Django OAuth Toolkit 和 Requests-OAuthlib 是兩個 Python 套件,提供了 OAuth 2.0 授權伺服器和資源伺服器的實作。Mallory 攻擊是一種 CSRF 攻擊,攻擊者可以竊取使用者的授權碼或存取令牌。使用隨機字串(state)和驗證授權碼或存取令牌的有效性可以防禦 Mallory 攻擊。

使用 Django OAuth Toolkit 建立授權伺服器和資源伺服器

Django OAuth Toolkit (DOT) 是一個很棒的函式庫,提供了實作授權和資源伺服器在 Python 中的功能。DOT 將 OAuth 帶到 Django 中,提供了一系列可自訂的檢視、裝飾器和工具。它也能夠與 requests-oauthlib 很好地合作;兩個框架都將繁重的工作委託給一個叫做 oauthlib 的第三個元件。

oauthlib 是一個通用的 OAuth 函式庫,沒有 Web 框架的依賴性;這使得它可以在所有種類的 Python Web 框架中使用,而不僅僅是 Django。

安裝 Django OAuth Toolkit

在您的虛擬環境中,使用以下命令安裝 DOT:

$ pipenv install django-oauth-toolkit

設定 oauth2_provider Django App

在您的 Django 專案的設定模組中,安裝 oauth2_provider Django App。這行程式碼,顯示在粗體,屬於授權伺服器和資源伺服器,而不是 OAuth 客戶端應用程式:

INSTALLED_APPS = [
    ...
    'oauth2_provider',  # 將您的 Django 專案變成授權伺服器、資源伺服器或兩者
]

遷移 oauth2_provider App

使用以下命令執行 oauth2_provider App 的遷移。建立的表格包括存取令牌和註冊的 OAuth 客戶端的帳戶詳細資訊:

$ python manage.py migrate oauth2_provider

設定 URL 路由

urls.py 中新增以下路由。這包括了一打負責 OAuth 客戶端註冊、授權、令牌交換等的端點:

urlpatterns = [
    ...
    path('o/', include('oauth2_provider.urls', namespace='oauth2_provider')),
]

重新啟動伺服器和管理控制檯

重新啟動伺服器並登入管理控制檯 /admin/。管理控制檯歡迎頁面有一個新的選單,用於管理授權伺服器和資源伺服器。

從底層實作到高階應用的全面檢視顯示,OAuth 2.0 授權機制已成為保障網路應用程式安全的重要基本。本文深入探討了 OAuth 2.0 的核心概念、授權流程、以及如何使用 Django OAuth Toolkit 和 requests-oauthlib 等工具在 Django 專案中構建授權伺服器和資源伺服器。透過分析授權碼流程的各個階段,我們揭示了其運作機制,並強調了防止 Mallory 攻擊等安全風險的重要性。雖然 OAuth 2.0 提供了強大的安全保障,但在實際應用中仍需注意客戶端註冊、授權碼管理、以及存取令牌的有效期等關鍵環節,才能確保系統的安全性及完整性。展望未來,隨著網路安全威脅的日益複雜,OAuth 2.0 及其相關技術將持續演進,以應對新的挑戰。對於開發者而言,持續學習和掌握最新的安全最佳實務至關重要。玄貓認為,深入理解 OAuth 2.0 的核心原理並正確地實作,是構建安全可靠網路應用程式的關鍵步驟。

玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。