Passer au contenu principal
Ce guide explique comment intégrer Auth0 à n’importe quelle API Python, nouvelle ou ancienne, développée avec Django.Si vous n’avez pas encore créé d’API dans votre Auth0 Dashboard, vous pouvez utiliser le sélecteur interactif pour créer une nouvelle API Auth0 ou sélectionner une API existante qui représente le projet avec lequel vous souhaitez vous intégrer.Vous pouvez également lire notre guide de démarrage, qui vous aidera à configurer votre première API via Auth0 Dashboard.Toute API dans Auth0 est configurée à l’aide d’un identifiant d’API que votre code d’application utilisera comme Audience pour valider le jeton d’accès.
Vous ne connaissez pas Auth0 ? Découvrez Auth0 et l’implémentation de l’authentification et de l’autorisation d’API en utilisant le cadre d’applications OAuth 2.0.
1

Définir les autorisations

Les autorisations vous permettent de définir comment les ressources peuvent être accessibles au nom de l’utilisateur avec un jeton d’accès donné. Par exemple, vous pouvez choisir d’accorder un accès en lecture à la ressource messages si les utilisateurs ont le niveau d’accès gestionnaire et accorder un accès en écriture à cette ressource s’ils ont le niveau d’accès administrateur.Vous pouvez définir les autorisations autorisées dans la vue Permissions (Autorisations) de la section API du Auth0 Dashboard. L’exemple suivant utilise la permission read:messages.
Auth0 Dashboard> Applications > APIs (API) > [Specific API (API précise)] > Onglet Permissions (Autorisations)
2

Configurer Django pour utiliser Auth0

Installez des dépendances

  1. Ajoutez les dépendances suivantes à votre requirements.txt :
  2. Exécutez pip install -r requirements.txt

Créez une application Django

3

Créer le validateur JWT

Vous utiliserez une bibliothèque appelée Authlib pour créer un ResourceProtector, qui est un type de Django view decorator (Décorateur de vue Django) qui protège vos ressources (vues API) avec un validateur donné.Le validateur vérifiera le jeton d’accès que vous passez à la ressource en vérifiant qu’il a une signature et des demandes valides.Vous pouvez utiliser le validateur JWTBearerTokenValidator d’AuthLib avec quelques ajustements pour vous assurer qu’il est conforme à nos exigences de validation des jetons d’accès.Pour créer votre Auth0JWTBearerTokenValidator, vous devez le passer à votre domaine et à votre public (Identificateur API). Il obtiendra alors la clé publique nécessaire pour vérifier la signature du jeton et la passera à la classe JWTBearerTokenValidator.Vous remplacerez ensuite les claims_options de la classe pour vous assurer que les demandes expiry, audience et issue du jeton sont validées selon nos exigences.Créez le fichier apiexample/validator.py en utilisant le code du panneau interactif.
4

Créer les vues API

Ensuite, vous allez créer trois vues API dans apiexample/views.py :
  • /api/public : point de terminaison public qui ne nécessite aucune authentification.
  • /api/private : point de terminaison privé qui nécessite un JWT de jeton d’accès valide.
  • /api/private-scoped : termpoint de terminaison inal privé qui nécessite un JWT de jeton d’accès valide contenant la scope donnée.
Les routes protégées auront un “decorator” require_auth, qui est un ResourceProtector qui utilise le Auth0JWTBearerTokenValidator que vous avez créé précédemment.Pour créer le Auth0JWTBearerTokenValidator, vous devez le transmettre au domaine de votre locataire et à l’identificateur de l’API que vous avez créé précédemment.Le decorator require_auth sur la route private_scoped prend en charge un argument supplémentaire "read:messages" qui vérifie la permission du jeton d’accès que vous avez créé précédemment.
5

Ajouter des mappages d’URL

Dans les étapes précédentes, vous avez ajouté des méthodes au fichier views.py . Mappez à présent ces méthodes aux URL en utilisant le URL Dispatcher (Répartiteur d’URL) de Django, qui vous permet de mapper les modèles d’URL aux vues.Ajoutez les modèles d’URL à votre fichier apiexample/urls.py.

Faites un appel à votre API

Pour appeler votre API, vous aurez besoin d’un jeton d’accès. Vous pouvez récupérer un jeton d’accès à des fins de test dans la vue Test dans vos API Settings (Paramètres API).
Auth0 Dashboard> Applications > API > [API specifique] > Onglet Test
Fournissez le jeton d’accès comme en-tête Authorization dans vos requêtes.
curl --request get \
--url 'http:///%7ByourDomain%7D.com/api_path' \
--header 'authorization: Bearer YOUR_ACCESS_TOKEN_HERE'

Étapes suivantes

Beau travail! Si vous en êtes arrivé là, vous devriez avoir la connexion, la déconnexion et les informations de profil utilisateur actives dans votre application.Cela conclut notre tutoriel de démarrage rapide, mais il y a tellement plus à explorer. Pour en savoir plus sur ce que vous pouvez faire avec Auth0, consultez :
  • Auth0 Dashboard : apprenez à configurer et gérer votre locataire et vos applications Auth0
  • Auth0 Marketplace : découvrez des intégrations que vous pouvez activer pour étendre les fonctionnalités d’Auth0
I