代码改变世界

用 Flask 来写个轻博客 (23) — 应用 OAuth 来实现 Facebook 第三方登录

2016-12-09 13:01  云物互联  阅读(674)  评论(0编辑  收藏  举报

目录

前文列表

用 Flask 来写个轻博客 (1) — 创建项目
用 Flask 来写个轻博客 (2) — Hello World!
用 Flask 来写个轻博客 (3) — (M)VC_连接 MySQL 和 SQLAlchemy
用 Flask 来写个轻博客 (4) — (M)VC_创建数据模型和表
用 Flask 来写个轻博客 (5) — (M)VC_SQLAlchemy 的 CRUD 详解
用 Flask 来写个轻博客 (6) — (M)VC_models 的关系(one to many)
用 Flask 来写个轻博客 (7) — (M)VC_models 的关系(many to many)
用 Flask 来写个轻博客 (8) — (M)VC_Alembic 管理数据库结构的升级和降级
用 Flask 来写个轻博客 (9) — M(V)C_Jinja 语法基础快速概览
用 Flask 来写个轻博客 (10) — M(V)C_Jinja 常用过滤器与 Flask 特殊变量及方法
用 Flask 来写个轻博客 (11) — M(V)C_创建视图函数
用 Flask 来写个轻博客 (12) — M(V)C_编写和继承 Jinja 模板
用 Flask 来写个轻博客 (13) — M(V)C_WTForms 服务端表单检验
用 Flask 来写个轻博客 (14) — M(V)C_实现项目首页的模板
用 Flask 来写个轻博客 (15) — M(V)C_实现博文页面评论表单
用 Flask 来写个轻博客 (16) — MV(C)_Flask Blueprint 蓝图
用 Flask 来写个轻博客 (17) — MV(C)_应用蓝图来重构项目
用 Flask 来写个轻博客 (18) — 使用工厂模式来生成应用对象
用 Flask 来写个轻博客 (19) — 以 Bcrypt 密文存储账户信息与实现用户登陆表单
用 Flask 来写个轻博客 (20) — 实现注册表单与应用 reCAPTCHA 来实现验证码
用 Flask 来写个轻博客 (21) — 结合 reCAPTCHA 验证码实现用户注册与登录
用 Flask 来写个轻博客 (22) — 实现博客文章的添加和编辑页面

扩展阅读

理解OAuth 2.0

第三方登录流程

这里写图片描述

Resource Owner:资源所有者,本文中又称”用户”(user)。
Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。

不难看出来,上面六个步骤之中,(B) 是整个流程的关键,有了这个授权以后,客户端就可以获取令牌,进而凭令牌获取资源。 那用户怎样才能给于客户端授权? 我们可以使用 OAuth 来实现.

OAuth

OAuth 的作用就是让”客户端(blog application)”安全可控地获取”服务商用户(Facebook User)”帐号的授权,与”服务商提供商(Facebook)”进行互动。

OAuth在”客户端”与”服务提供商”之间,设置了一个授权层(authorization layer)。”客户端”不能直接登录”服务提供商”,只能登录授权层,以此将用户与客户端分离。”客户端”登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。

“客户端”登录授权层以后,”服务提供商”根据令牌的权限范围和有效期,向”客户端”开放用户储存的资料。由此可见, 用户账户的安全性就交由这些知名的可靠的”服务提供商”来处理了, 可以更好的降低用户登录 blog 的信任成本.

应用 OAuth 实现 Facebook 第三方登录

  • 安装
pip install Flask-OAuth
pip freeze > requirements.txt
  • facebook developer 上创建 facebook 并获取 app_id 和 app_Secret, 并注册授权站点, 这里我们使用 http://localhost:5000/
    这里写图片描述

  • 初始化 OAuth 对象, 并使用该对象来获取 facebook 对象
    vim extensions.py

from flask_oauth import OAuth

# Create the Flask-OAuth's instance
oauth = OAuth()

# facebook 第三方登录接口
# Create the auth object for facebook.
facebook = oauth.remote_app(
    'facebook',
    base_url='https://graph.facebook.com/',
    request_token_url=None,
    access_token_url='/oauth/access_token',
    authorize_url='https://www.facebook.com/dialog/oauth',
    consumer_key='<Your_app_number>',
    consumer_secret='<Your_app_secret>',
    request_token_params={'scope': 'email'})

@facebook.tokengetter
def get_facebook_token():
    return session.get('facebook_oauth_token')

NOTE 1: facebook 对象是上述步骤中创建的 facebook 应用对象, 其包含了认证的结果信息和请求授权的 facebook user 信息. facebook 是完成第三方登录流程的接口对象.

NOTE 2: 方法 get_facebook_oauth_token() 获取 facebook 发放的 token. 当成功创建 facebook 对象并完成授权时, 表示 client(blog) 成功的向 Authorization server 完成认证并接受到服务端的 token, 并保存在 session 中. 然后 Client 就可以使用这个 token 去访问 facebook 的资源(账户权限资源)了.

  • 实现在 client 触发用户授权的逻辑
    vim jmilkfansblog/controllers/main.py
from jmilkfansblog.extensions import openid, facebook


# 当访问 /facebook 时, 触发授权流程
main_blueprint.route('/facebook')
def facebook_login():
    return facebook.authorize(
        callback=url_for('main.facebook_authorized',
                         next=request.referrer or None,
                         _external=True))


# 该视图会接受从 facebook 认证服务器返回的 resp 对象, 可以通过 resp 对象来判断 Client 在 Server 上的认证结果.
@main_blueprint.route('/facebook/authorized')
@facebook.authorized_handler
def facebook_authorized(resp):
    if resp is None:
        return 'Access denied: reason=%s error=%s' % (
            request.args['error_reason'],
            request.args['error_description'])

    session['facebook_oauth_token'] = (resp['access_token'], '')

    me = facebook.get('/me')

    if me.data.get('first_name', False):
        facebook_username = me.data['first_name'] + " " + me.data['last_name']
    else:
        facebook_username = me.data['name']

    user = User.query.filter_by(username=facebook_username).first()
    if user is None:
        user = User(id=str(uuid4()), username=facebook_username, password='jmilkfan')
        db.session.add(user)
        db.session.commit()

    flash('You have been logged in.', category='success')

    return redirect(url_for('blog.home'))
  • 实现登录链接
<div class="row">
  <div class="form-group">
    <a href="{{ url_for('main.facebook_login') }}">Login via Facebook</a>
  </div>
</div>

实现效果

访问 /faceboook/authorized 进入用户授权页面:
这里写图片描述
NOTE: 需要首先登录到 facebook 之后, 才能够进入授权的处理流程.

授权并登录成功:
这里写图片描述