3

我有一个烧瓶驱动的应用程序,我正在尝试为此应用程序启用 OIDC SSO。我选择 wso2 作为身份服务器。我创建了一个回调 URL,并在 Identity Server 和烧瓶应用程序中添加了必要的东西,如下所示。该应用程序能够通过凭据日志记录页面,之后,我收到 SSL 证书验证错误。

我的尝试:

  • 我尝试过使用自签名证书,app.run(ssl_context='adhoc')但没有奏效。

代码片段:

from flask import Flask, g
from flask_oidc import OpenIDConnect
# import ssl

logging.basicConfig(level=logging.DEBUG)


app = Flask(__name__)

app.config.update({
    'SECRET_KEY': 'SomethingNotEntirelySecret',
    'TESTING': True,
    'DEBUG': True,
    'OIDC_CLIENT_SECRETS': 'client_secrets.json',
    'OIDC_ID_TOKEN_COOKIE_SECURE': False,
    'OIDC_REQUIRE_VERIFIED_EMAIL': False,

})
 
oidc = OpenIDConnect(app)

@app.route('/private')
@oidc.require_login
def hello_me(): 
    # import pdb;pdb.set_trace()
    info = oidc.user_getinfo(['email', 'openid_id'])
    return ('Hello, %s (%s)! <a href="/">Return</a>' %
            (info.get('email'), info.get('openid_id')))

if __name__ == '__main__':
    # app.run(host='sanudev', debug=True)
    # app.run(debug=True)
    # app.run(ssl_context='adhoc')
    app.run(ssl_context=('cert.pem', 'key.pem'))
    # app.run(ssl_context=('cert.pem', 'key.pem'))

客户信息:

{
    "web": {
        "auth_uri": "https://localhost:9443/oauth2/authorize",
        "client_id": "hXCcX_N75aIygBIY7IwnWRtRpGwa",
        "client_secret": "8uMLQ92Pm8_dPEjmGSoGF7Y6fn8a",
        "redirect_uris": [
            "https://sanudev:5000/oidc_callback"
        ],
        "userinfo_uri": "https://localhost:9443/oauth2/userinfo",
        "token_uri": "https://localhost:9443/oauth2/token",
        "token_introspection_uri": "https://localhost:9443/oauth2/introspect"
    }
}

应用信息:

  • 蟒蛇3.8
  • 烧瓶 1.1.2

在此处输入图像描述

4

2 回答 2

0

嗨回答我自己的问题只是为了有效地接触社区,在这里我可以表达我在哪里卡住以及修复背后的所有故事。

TLDR:

之所以出现 SSL 问题,是因为在 OIDC 流中 wso2 服务器必须仅通过 SSL 隧道通信或传输安全身份验证令牌。这是出于安全目的需要保留的强制性标准。是的,碳服务器具有 SSL 证书(自签名证书)以通过 SSL 隧道客户端进行安全令牌传输,还必须至少进行自签名证书配置。

由于我使用的是 flask-oidc 库,因此有一项规定允许这样做,请参阅此处的配置。

{
    "web": {
        "auth_uri": "https://localhost:9443/oauth2/authorize",
        "client_id": "someid",
        "client_secret": "somesecret",
        "redirect_uris": [
            "https://localhost:5000/oidc_callback"
        ],
        "userinfo_uri": "http://localhost:9763/oauth2/userinfo",
        "token_uri": "http://localhost:9763/oauth2/token",
        "token_introspection_uri": "http://localhost:9763/oauth2/introspect",
        "issuer": "https://localhost:9443/oauth2/token" # This can solve your issue
    }
}

为了快速开发,您可以通过在烧瓶应用程序运行设置中添加临时配置来启用 HTTPS 中的安全连接。

if __name__ == '__main__':
    # app.run(ssl_context=('cert.pem', 'key.pem')) # for self signed cert
    app.run(debug=True, ssl_context='adhoc') # Adhoc way of making https
于 2020-12-04T06:58:57.757 回答
0

让我用这个警告作为这个答案的序言:

不要在生产环境中这样做

不,说真的,不要在生产中这样做,这应该只用于开发目的。

无论如何,打开oauth2client\transport.py文件。

您将在吐出的错误中看到此文件位置。对我来说,它在我的 anaconda 环境中

AppData\Local\Continuum\anaconda3\envs\conda_env\lib\site-packages\oauth2client\transport.py

找到这条线(我的第 73 行)

def get_http_object(*args, **kwargs):
    """Return a new HTTP object.

    Args:
        *args: tuple, The positional arguments to be passed when
               contructing a new HTTP object.
        **kwargs: dict, The keyword arguments to be passed when
                  contructing a new HTTP object.

    Returns:
        httplib2.Http, an HTTP object.
    """
    return httplib2.Http(*args, **kwargs)

将返回更改为

return httplib2.Http(*args, **kwargs, disable_ssl_certificate_validation=True)

您可能需要对 flask_oidc/__init__.py 的第 445 行做同样的事情

credentials.refresh(httplib2.Http(disable_ssl_certificate_validation=True))
于 2021-07-13T20:14:06.630 回答