SSO登录验证设计要点细节(以微软 Microsoft SSO为例) 基于react python

原创 已于 2025-11-07 11:18:34 修改 · 448 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#microsoft #react.js #python

于 2025-11-05 16:13:28 首次发布
部署运行你感兴趣的模型镜像

流程 省流版

  • step 1
    • 用户访问前端页面
    • 前端检测无localStorage,Auth重定向到login页面
    • 点击按钮 输入账户密码
  • step 2
    • 后端接受账户密码 调用microsoft接口
    • 生成temp code返回前端
  • step 3
    • 前端使用temp code得到JWT存入localStorage
    • jiang进入正式界面

step 1 跳转

jsx 结构

function App(){
	return(
		<>
		<AuthProvider> // 认证系统组件	
			<Router basename='/baseurl'>
				<Routes>
					<Route path='/login' element={<LoginPage/>}/>
					<Route paht='/auth/callback' element={<SSOCallback/>}/>
					<Route path='/landpage/:landpageId' element={
						<LayoutProvider>
							<AuthGuard>
								<LandPage/>
							</AuthGuard>
						</LayoutProvider>
					}/>
				</Routes>
			</Router>
		<AuthProvider>
		</>
	)
}
  • LoginPage 是前端登录页面的入口,用于给未登录的用户界面
  • callback是microsoft认证服务器认证回来的
    • 认证格式:/auth/callback/code=authorization_code
      • url 提取参数,调用后端 api/auth/callback?code=xxx
      • 后端验证code 返回jwt token
      • token存到localstorage
      • 跳到landpage
  • AuthGaurd包围需要展示的界面,执行如下代码
const AuthGuard = ({children}) => {
	const {user, loading} = useAuth()
	if(loading) return <div>loading...</div>
	if(!user) return <Navigate to ='/login' replace/>

	return children
}

AuthProvider 初始化

这里补充一下user和loading从哪里来的,最外层包了一个AuthProvider 定义如下

const AuthContext = createContext({
	user:null,
	loading:true,
	setUser:() => {},
	logout:() => {}
})

export const useAuth = () => {
	const context = useContext(AuthContext)
	return context
} 

//simplify hook reference you dont have to import AuthContexr and useContext at the same time
// if you do not use it
// you need to write 
// const {user} = useContext(AuthContext)

// now 
// const{user} = useAuth()

export const AuthProvider= ({children}) => {
	const [user, setUser] = useState(null)
	const [loading, setLoading] = useState(true)
	
	//init code
	useEffect() => {
		const init() = async() = > {
			// 情况1 检查是否sso回调
			const urlParams = new URLSearchParams(window.location.search)
			const tempCode = urlParams.get('temp_code')
			const error = urlParams.get('error')
			if(error) {return }
				// sso 回调会带有tempCode
			if(tempCode){
				const response = await authAPI.exchangeTempCode(tempCode)
				
				//保存authToken refreshToken user等信息
				localStorage.setItem('auth', response.auth)
				...
				setUser(response.user)
			}

			
			// 情况二 非回调 查询token
			const user = localStorage.getItem('user')
			const token = localStorage.getItem('token')
			if(user && token){
				const res = await authAPI.verify(token)
				if(res.success && res.valid){ // 没过期,设置
					setUset(user)
				}else{
					//过期 清空localstorage
					 		
				}
			} else{
				//情况3 第一次访问无session 只做log输出(或者啥也不做)
				//等路由处理user == null跳转到login界面
			}
		
			

		}
		init()
		
		
	}, [])
	


	return(
		<AuthContext.Provider value = {{user,loading, setUser, logout}}
			{children}
		<AuthContext.Provider>
	)
}

执行完init,authGuard发现user没设置好,于是定向到login页面

step2 点击login之后的后端如何处理

# /login 内部的框架
state = str(uuid.uuid4()) #
redirect_url = 'xxx' # 让microsoft认真完成之后重定向的url

# MSAL 
auth_url = self.msal_app.get_authorization_request_url(
	scopes=["User.Read"],
	redirect_url=redirect_url,
	state=state
) 

return auth_url

外层接收到microsft认证url 打包

return RedirectResponse(url=auth_url, status_code=302)

用户输入账号密码给微软,搞定了之后微软跳转到redirect-url

step 3 回调

microsft回调后端
调用/api/auth/callback?code=xxx&state=xxx

@router.get('/callback')
async def oauth_callback(code, state):
	result = await sso_service.handle_callback(code, env)
	temp_code = await sso_service.create_tmp_auth_code(result.user)
	return RedirectResponse(url=redirect_url, status_code=302)

sso_service.handle_callback 核心逻辑

# 1. tmp code换token
result = self.msal_app.acquire_token_by_authorization_code(
	code=authorization_code,
	scopes=['User.Read'],
	redirect_url=redirect_url
) 

# 2得到access token id token和refresh token
id_token_claims = result.get('id_token_claims')
id = id_token_claims.get('oid')
email = id_token_claims.get('email')
name = id_token_claims.get('name')
# 3 本地database检查并创建用户 略过
……
# 4 JWT token 生成payload丢给jwt.encode
payload = {}
token = jwt.encode(payload, secretKey, algorithm)
refresh_token = jwt.encode(payload_for_refresh, secretKey, algorithm)

return UserInfo(
	id=id,
	name=name,
	email=email,
	token=token,
	refreshToken = refresh_token
)

create tmp code逻辑

import secrets
tmp_code=secrets.token_urlsafe(32)
expiration=time.time()+600
self.tmp_auth_codes[tmp_code] = {
	'user_info':user_info, # 上一步的userInfo
	'expires_at':expiration,
	'create_at':time.time()
}
return tmp_code

重定向到前端(附带tmp code

/xxx?tmp_code=xxx

const tmpCode=urlParams.get('tmp_code')
const res =  await. verifyTempCode(tmpCode)	//丢给后端验证 返回userinfo
	
localStorage.setItem(xxx)	//存起来res需要的东西

获取temp code对应的数据

# 检查是否存在
if tmp_code not in self.tmp_auth_codes:
	return None

auth = self.tmp_auth_codes[tmp_code]
if time.time() > auth['expires_at']:
	del self.tmp_auth_codes[tmp_code]
	return None


	userInfo = auth['user_info']
	self.tmp_auth_codes[tmp_code]
	return userInfo

# 检查是否过期

# 取出来 删除tmpcode,只用一次

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Python|Pyppeteer解决微软Microsoft登录机器人验证(8)
Python进阶专栏《爬虫实战进阶》,《Pyppeteer从入门到精通》原创作者
04-21 5426
本文是该专栏的第8篇,将详细来介绍使用python绕过微软microsoft机器人验证。在注册微软账号或者outlook邮箱账号的时候,基本确定该机器人验证在这个iframe框里面,但是使用pyppeteer获取页面源代码的时候,源代码里面完全获取不到该iframe信息,哪怕使用切换iframe去定位该iframe框信息,也捕获不到信息。3. 本文只单独介绍绕过微软Microsoft的机器人验证,而绕过机器人验证之后,需要解决的图片点选验证,笔者将在下篇文章再单独来详细介绍,感兴趣的同学记得关注
手把手教Kaggle账号注册-不翻墙
Vincci_Lin的博客
11-23 1万+
不需要翻墙,简单安装插件Header Editor解决人机验证无法显示问题。
microsoft账户注册一直加载_Steam人机验证问题修复 国内玩家注册新号无障碍
weixin_39934257的博客
11-17 8836
喜欢我的都关注我了~昨天很多人都问小编steam怎么突然不好注册账号了,Steam账号必须要通过Google reCAPTCHA人机身份验证,而由于某些特殊原因,中国大陆地区是无法加载出这项验证的,因此想要按照正常流程注册全新Steam账号的玩家目前会受到影响。从中我们可以看到,在使用大陆IP打开注册页面时,谷歌验证框根本无法显示,即使点击提交也会提醒“您必须先通过人机验证才能创建Ste...
Java接入Microsoft Azure AD实现SSO登录
【Mr-Coolerwu】
04-09 2769
SSO(SingleSign-On,单点登录)通过在IDP(身份验证提供商)登录成功后,就可以访问IDP关联的应用程序以及相关权限为了解决以下问题:用户使用多个应用程序时,需要创建多个账号如果用户在所有平台创建的账号密码一致,可能会导致账号密码泄露,非法用户会窃取用户的财产提高用户的体验感,降低创建账号的繁琐程序Azure Active Directory(Azure AD)是微软提供的一项云身份和访问管理服务,也就是IDP(身份验证提供商)
全面掌握OAuth 2.0与SSO集成:基于Microsoft.Owin.Security.OAuth
weixin_42097508的博客
08-09 384
OAuth 2.0是当今Web应用中用于授权的主流框架,它允许第三方应用获取有限的用户资源访问权限。它支持四种授权流程,通过这些流程,应用可以在不需要用户提供用户名和密码的情况下,安全地提供数据访问。要将Microsoft.Owin.Security.OAuth库集成到现有的.NET项目中,需要先安装该库,这可以通过NuGet包管理器轻松完成。通过Visual Studio的“管理NuGet包”对话框搜索并安装包。安装完成后,需要对Web.config文件和启动类进行配置。
基于Python Flask的SSO仪表板实现与 OIDC 身份验证
8. **认证流程**:本项目仅依赖auth0来处理身份验证,而当前配置仅限于Mozilla LDAP登录,这表明了项目在身份验证方面的具体实现细节。 9. **授权流程**:虽然技术上不提供授权功能,但项目通过规则文件检查用户有...
基于Spring Security OAuth2的SSO单点登录POC, 基于Zuul API网关
05-15
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
基于springboot、shiro的单点登录系统springboot-shiro-sso.zip
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
python107web服务统一身份认证协议设计.rar
04-26
标题中的“python107web服务统一身份认证协议设计”暗示了这个项目是关于使用Python编程语言实现一个Web服务,其核心功能是实现统一身份认证(Single Sign-On, SSO)协议。SSO允许用户在一个系统中登录后,无需再次...
python web服务统一身份认证协议设计(完整前后端+mysql+说明文档+LW).zip
02-25
通过这套协议,用户在访问不同的Web服务时,可以实现单点登录SSO)功能,即只需在初次登录时进行一次身份验证,即可访问所有合作的服务应用,而无需重复登录。 项目的前后端采用了目前流行的MVC(模型-视图-控制...
人机验证
weixin_33860528的博客
02-10 675
2019独角兽企业重金招聘Python工程师标准>>> ...
登录前的人机验证VAPTCHA
dawnStart的博客
12-13 3095
验证流程 1、创建验证单元,获取VID和Key 。点击创建。 2、将https://v.vaptcha.com/v3.js引入到你的页面。 3、将 VAPTCHA 初始化到你需要的位置 4、用户验证通过得到token,与表单数据一同提交到服务端。 5、服务端得到token后,向 VAPTCHA 服务器验证token的有效性,验证通过说明此次请求有效. ...
避免跳出谷歌人机验证 reCAPTCHA界面的解决方法
Tasdily的博客
09-07 24万+
第一次遇到跳出谷歌人机验证 reCAPTCHA界面只要点击窗口就没有问题了,心里还感叹了下谷歌能把人机验证这事做的这么好,不错。然而这个窗口还是会不断调出来扰人= =,导致使用Chrome浏览器搜索变得很慢,体验感极速下降,非常烦人。 首先声明这个不是破解谷歌 reCAPTCHA 的意思Orz 当前世界范围的IPv4地址紧张,运营商给自家用户常常分配同一个IP上网(这句可以无视666)。在...
创建steam账户反复人机验证_您必须先通过人机验证才能创建steam帐户怎么办
weixin_39641236的博客
12-20 2万+
展开全部在注册steam帐户遇到提示必须通过人机验证才能创建62616964757a686964616fe4b893e5b19e31333433643062提示时,勾选注册页面中的进行人机验证。在人机身份验证界面中点击需要的图片并按照步骤提示就可以完成账户创建。具体创建方法如下:1、在电脑的百度上输入steam官网,找到其官方网站以后点进入。2、进入到其官网以后点击右上角的登录按钮。3、页面跳转以...
解决国内网页无法加载reCaptcha的方法
热门推荐
调皮李小怪博客
10-17 25万+
科普: reCaptcha是Google公司的验证码服务,方便快捷,改变了传统验证码需要输入n位失真字符的特点。reCaptcha在使用的时候是这样的: 只需要点一下复选框,Google会收集一些鼠标轨迹、网络信息、浏览器信息等等,依靠后端的神经网络判断是机器还是人,绝大多数验证会一键通过,无需像传统验证码一样。但是reCaptcha使用了google.com的域名,这个域名在国内是被墙的。所以,也就导致了官网上无法注册/登录的问题,挡住了不少人入正的脚步。 解决办法: 【第一步】安装fir
易语言界面美化与组件扩展
最新发布
myingrid的博客
12-17 374
本文介绍了易语言界面美化与组件扩展的核心内容,通过"房子装修"类比帮助理解界面美化逻辑。主要内容包括:1)三大美化支持库(XP风格库、皮肤支持库、扩展界面库)的配置与使用;2)基础美化(组件属性调整)与高级美化(皮肤加载、无边框窗口)的实现方法;3)5种扩展组件(树型框、进度条等)的核心应用;4)将基础成绩管理系统升级为支持皮肤切换、成绩可视化的精美版本。文章提供了详细的代码示和实操指导,帮助开发者快速提升界面美观度和用户体验。
WebForms 事件
lsx202406的博客
12-16 324
WebForms 事件是指当用户与 Web 页面交互时,由页面上的控件(如按钮、文本框等)或页面本身触发的一系列操作。这些操作可以是简单的用户点击,也可以是复杂的业务逻辑。WebForms 事件是 WebForms 开发中不可或缺的一部分。通过合理地处理事件,可以提高应用程序的响应速度和用户体验。本文介绍了 WebForms 事件的概念、类型、生命周期以及事件处理方法,希望对开发者有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值