python - 将 python Dropbox API 与 django 一起使用

Question

我在我的 Django v1.5.3 应用程序中使用为 Dropbox API v1.6 描述的DropboxOAuth2Flow方法，并且在重定向到 Dropbox oauth2 授权页面时出现 400 错误。

当我转到我的 dropbox_auth_start URL 时，我被重定向到：

https://www.dropbox.com/1/oauth2/authorize?state=tWd4Eh4nzk5NlcuHXe7ffA%3D%3D&redirect_uri=http%3A%2F%2Fmydomain.com%2Fdropbox_auth_finish&response_type=code&client_id=blahblahblah

然后发生400错误。

顺便把“dropbox-auth-csrf-token”写在会话文件中。

我的 Django 代码：

视图.py

def get_dropbox_auth_flow(web_app_session):
    redirect_uri = "http://www.mydomain.com"
    return DropboxOAuth2Flow('blahblahblah', 'blehblehbleh', redirect_uri, web_app_session, "dropbox-auth-csrf-token")

# URL handler for /dropbox-auth-start
def dropbox_auth_start(request):
    authorize_url = get_dropbox_auth_flow(request.session).start()
    return HttpResponseRedirect(authorize_url)

# URL handler for /dropbox-auth-finish
def dropbox_auth_finish(request):
    try:
        access_token, user_id, url_state = get_dropbox_auth_flow(request.session).finish(request.GET)
    except DropboxOAuth2Flow.BadRequestException, e:
        http_status(400)
    except DropboxOAuth2Flow.BadStateException, e:
        # Start the auth flow again.
        return HttpResponseRedirect("http://www.mydomain.com/dropbox_auth_start")
    except DropboxOAuth2Flow.CsrfException, e:
        return HttpResponseForbidden()
    except DropboxOAuth2Flow.NotApprovedException, e:
        raise e
    except DropboxOAuth2Flow.ProviderException, e:
        raise e

网址.py

from django.conf.urls import patterns, url, include
from django.contrib import admin
admin.autodiscover()


urlpatterns = patterns('',
    url(r'^dropbox_auth_start/?$',views.dropbox_auth_start),
    url(r'^dropbox_auth_finish/?$',views.dropbox_auth_finish),
)

Answer 1

就像@smarx 说的那样，我刚刚从 HTTP 和 HTTPS 切换，一切正常。

Answer 2

我最近遇到了这个问题，我的站点链接一直使用 https 链接。我不确定我的解决方案是否完全有效或安全，但目前它阻止了一个错误，该错误导致我的服务出现许多不良注册问题。

因为在某些情况下，当用户被重定向到保管箱并返回时，Django 会话层似乎不起作用，因此 CSRF 令牌似乎作为回调响应中的“状态”参数传递回您的应用程序。我的解决方案是在您的视图处理程序中检查身份验证，检查 csrf 会话密钥是否存在以及是否不从参数“state”获取它并将其添加到会话中，然后再调用保管箱请求身份验证流程。

    try:
        if request.session["dropbox-auth-csrf-token"] is None or request.session["dropbox-auth-csrf-token"] == "":
            raise Exception("Problem with csrf")
    except Exception, e:
        #Get it from the parameter and add it to the session.
        csrf = request.GET.get("state")
        request.session["dropbox-auth-csrf-token"] = csrf

    access_token, user_id, url_state = \
            get_dropbox_auth_flow(request.session).finish(request.GET)

我不确定它是否是一个可以添加到 Django 库中的整体修复，以便在会话由于某种原因无法正常工作时检查状态变量的请求参数。这实际上可能是一个安全问题，目前它解决了我的注册问题。