Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
Из этой статьи вы узнаете, как добавить проверку подлинности Azure Active Directory B2C (Azure AD B2C) в собственном веб-приложении Python. Вы разрешаете пользователям выполнять вход, выход из системы, обновлять профиль и сбрасывать пароль с помощью потоков пользователей Azure AD B2C. В этой статье используется библиотека проверки подлинности Майкрософт (MSAL) для Python, чтобы упростить добавление проверки подлинности в веб-приложение Python.
Цель этой статьи — заменить пример приложения, используемого в настройке проверки подлинности в примере веб-приложения Python с помощью Azure AD B2C с собственным приложением Python .
В этой статье используется Python 3.9+ и Flask 2.1 для создания базового веб-приложения. Представления приложения используют шаблоны Jinja2.
Предпосылки
- Выполните действия, описанные в разделе "Настройка проверки подлинности" в примере веб-приложения Python с помощью Azure AD B2C. Вы создаете потоки пользователей Azure AD B2C и регистрируете веб-приложение на портале Azure.
- Установка Python 3.9 или более поздней версии
- Visual Studio Code или любой другой редактор кода.
- Установка расширения Python для Visual Studio Code
Шаг 1. Создание проекта Python
В файловой системе создайте папку проекта для этого руководства, например
my-python-web-app.В терминале измените каталог в папку приложения Python, например
cd my-python-web-app.Выполните следующую команду, чтобы создать и активировать виртуальную среду с именем
.venvна основе текущего интерпретатора.Обновите pip в виртуальной среде, выполнив следующую команду в терминале:
python -m pip install --upgrade pipЧтобы включить функции отладки Flask, переключите Flask в
developmentрежим среды разработки. Дополнительные сведения об отладке приложений Flask см. в документации flask.Откройте папку проекта в VS Code, выполнив
code .команду или открыв VS Code и выбравпапку "Открыть файл>".
Шаг 2. Установка зависимостей приложений
В корневой папке requirements.txt веб-приложения создайте файл. В файле требований перечислены пакеты , которые должны быть установлены с помощью pip install. Добавьте следующее содержимое в файл requirements.txt:
Flask>=2
werkzeug>=2
flask-session>=0.3.2,<0.5
requests>=2,<3
msal>=1.7,<2
В терминале установите зависимости, выполнив следующие команды:
Шаг 3. Создание компонентов пользовательского интерфейса приложения
Flask — это упрощенная платформа Python для веб-приложений, которая предоставляет основы маршрутизации URL-адресов и отрисовки страниц. Ваше приложение использует Jinja2 в качестве движка шаблонов для отображения своего содержимого. Дополнительные сведения см. в документации по конструктору шаблонов. В этом разделе вы добавите необходимые шаблоны, которые предоставляют основные функциональные возможности веб-приложения.
Шаг 3.1. Создание базового шаблона
Шаблон базовой страницы в Flask содержит все общие части набора страниц, включая ссылки на CSS-файлы, файлы скриптов и т. д. Базовые шаблоны также определяют один или несколько тегов блоков, которые предполагается переопределять другими шаблонами, расширяющими базовые. Тег блока определяется как базовым {% block <name> %} шаблоном, так и {% endblock %} расширенным шаблоном.
В корневой папке вашего веб-приложения создайте папку templates. В папке шаблонов создайте файл с именем base.htmlи добавьте следующее содержимое:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
{% block metadata %}{% endblock %}
<title>{% block title %}{% endblock %}</title>
<!-- Bootstrap CSS file reference -->
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.2.0-beta1/dist/css/bootstrap.min.css" rel="stylesheet"
integrity="sha384-0evHe/X+R7YkIZDRvuzKMRqM+OrBnVFBL6DOitfPri4tjfHxaWutUpFmBp4vmVor" crossorigin="anonymous">
</head>
<body>
<nav class="navbar navbar-expand-lg navbar-dark bg-dark">
<div class="container-fluid">
<a class="navbar-brand" href="{{ url_for('index')}}">Python Flask demo</a>
<button class="navbar-toggler" type="button" data-bs-toggle="collapse"
data-bs-target="#navbarSupportedContent" aria-controls="navbarSupportedContent" aria-expanded="false"
aria-label="Toggle navigation">
<span class="navbar-toggler-icon"></span>
</button>
<div class="collapse navbar-collapse" id="navbarSupportedContent">
<ul class="navbar-nav me-auto mb-2 mb-lg-0">
<li class="nav-item">
<a class="nav-link active" aria-current="page" href="{{ url_for('index')}}">Home</a>
</li>
<li class="nav-item">
<a class="nav-link" href="{{ url_for('graphcall')}}">Graph API</a>
</li>
</ul>
</div>
</div>
</nav>
<div class="container body-content">
<br />
{% block content %}
{% endblock %}
<hr />
<footer>
<p>Powered by MSAL Python {{ version }}</p>
</footer>
</div>
</body>
</html>
Шаг 3.2. Создание шаблонов веб-приложений
Добавьте следующие шаблоны в папку шаблонов. Эти шаблоны расширяют base.html шаблон:
index.html: домашняя страница веб-приложения. Шаблоны используют следующую логику: если пользователь не войдет в систему, они отображают кнопку входа. Если пользователь входит в систему, отображаются утверждения маркера доступа, предоставляется ссылка для изменения профиля и выполняется вызов API Graph.
{% extends "base.html" %} {% block title %}Home{% endblock %} {% block content %} <h1>Microsoft Identity Python Web App</h1> {% if user %} <h2>Claims:</h2> <pre>{{ user |tojson(indent=4) }}</pre> {% if config.get("ENDPOINT") %} <li><a href='/graphcall'>Call Microsoft Graph API</a></li> {% endif %} {% if config.get("B2C_PROFILE_AUTHORITY") %} <li><a href='{{_build_auth_code_flow(authority=config["B2C_PROFILE_AUTHORITY"])["auth_uri"]}}'>Edit Profile</a></li> {% endif %} <li><a href="/logout">Logout</a></li> {% else %} <li><a href='{{ auth_url }}'>Sign In</a></li> {% endif %} {% endblock %}graph.html. Демонстрируется вызов REST API.
{% extends "base.html" %} {% block title %}Graph API{% endblock %} {% block content %} <a href="javascript:window.history.go(-1)">Back</a> <!-- Displayed on top of a potentially large JSON response, so it will remain visible --> <h1>Graph API Call Result</h1> <pre>{{ result |tojson(indent=4) }}</pre> <!-- Just a generic json viewer --> {% endblock %}auth_error.html. Обработка ошибок проверки подлинности.
{% extends "base.html" %} {% block title%}Error{% endblock%} {% block metadata %} {% if config.get("B2C_RESET_PASSWORD_AUTHORITY") and "AADB2C90118" in result.get("error_description") %} <!-- See also https://learn.microsoft.com/azure/active-directory-b2c/active-directory-b2c-reference-policies#linking-user-flows --> <meta http-equiv="refresh" content='0;{{_build_auth_code_flow(authority=config["B2C_RESET_PASSWORD_AUTHORITY"])["auth_uri"]}}'> {% endif %} {% endblock %} {% block content %} <h2>Login Failure</h2> <dl> <dt>{{ result.get("error") }}</dt> <dd>{{ result.get("error_description") }}</dd> </dl> <a href="{{ url_for('index') }}">Homepage</a> {% endblock %}
Шаг 4. Настройка веб-приложения
В корневой папке веб-приложения создайте файл с именем app_config.py. Этот файл содержит сведения о поставщике удостоверений Azure AD B2C. Веб-приложение использует эти сведения для установления отношения доверия с Azure AD B2C, входа пользователей и выхода, получения маркеров и проверки их. Добавьте в файл следующее содержимое:
import os
b2c_tenant = "fabrikamb2c"
signupsignin_user_flow = "B2C_1_signupsignin1"
editprofile_user_flow = "B2C_1_profileediting1"
resetpassword_user_flow = "B2C_1_passwordreset1" # Note: Legacy setting.
authority_template = "https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{user_flow}"
CLIENT_ID = "Enter_the_Application_Id_here" # Application (client) ID of app registration
CLIENT_SECRET = "Enter_the_Client_Secret_Here" # Application secret.
AUTHORITY = authority_template.format(
tenant=b2c_tenant, user_flow=signupsignin_user_flow)
B2C_PROFILE_AUTHORITY = authority_template.format(
tenant=b2c_tenant, user_flow=editprofile_user_flow)
B2C_RESET_PASSWORD_AUTHORITY = authority_template.format(
tenant=b2c_tenant, user_flow=resetpassword_user_flow)
REDIRECT_PATH = "/getAToken"
# This is the API resource endpoint
ENDPOINT = '' # Application ID URI of app registration in Azure portal
# These are the scopes you've exposed in the web API app registration in the Azure portal
SCOPE = [] # Example with two exposed scopes: ["demo.read", "demo.write"]
SESSION_TYPE = "filesystem" # Specifies the token cache should be stored in server-side session
Обновите приведенный выше код с параметрами среды Azure AD B2C, как описано в разделе "Настройка примера веб-приложения " примера проверки подлинности в примере веб-приложения Python .
Шаг 5. Добавление кода веб-приложения
В этом разделе вы добавите функции представления Flask и методы проверки подлинности библиотеки MSAL. В корневой папке проекта добавьте файл с именем app.py следующего кода:
import uuid
import requests
from flask import Flask, render_template, session, request, redirect, url_for
from flask_session import Session # https://pythonhosted.org/Flask-Session
import msal
import app_config
app = Flask(__name__)
app.config.from_object(app_config)
Session(app)
# This section is needed for url_for("foo", _external=True) to automatically
# generate http scheme when this sample is running on localhost,
# and to generate https scheme when it is deployed behind reversed proxy.
# See also https://flask.palletsprojects.com/en/1.0.x/deploying/wsgi-standalone/#proxy-setups
from werkzeug.middleware.proxy_fix import ProxyFix
app.wsgi_app = ProxyFix(app.wsgi_app, x_proto=1, x_host=1)
@app.route("/anonymous")
def anonymous():
return "anonymous page"
@app.route("/")
def index():
#if not session.get("user"):
# return redirect(url_for("login"))
if not session.get("user"):
session["flow"] = _build_auth_code_flow(scopes=app_config.SCOPE)
return render_template('index.html', auth_url=session["flow"]["auth_uri"], version=msal.__version__)
else:
return render_template('index.html', user=session["user"], version=msal.__version__)
@app.route("/login")
def login():
# Technically we could use empty list [] as scopes to do just sign in,
# here we choose to also collect end user consent upfront
session["flow"] = _build_auth_code_flow(scopes=app_config.SCOPE)
return render_template("login.html", auth_url=session["flow"]["auth_uri"], version=msal.__version__)
@app.route(app_config.REDIRECT_PATH) # Its absolute URL must match your app's redirect_uri set in AAD
def authorized():
try:
cache = _load_cache()
result = _build_msal_app(cache=cache).acquire_token_by_auth_code_flow(
session.get("flow", {}), request.args)
if "error" in result:
return render_template("auth_error.html", result=result)
session["user"] = result.get("id_token_claims")
_save_cache(cache)
except ValueError: # Usually caused by CSRF
pass # Simply ignore them
return redirect(url_for("index"))
@app.route("/logout")
def logout():
session.clear() # Wipe out user and its token cache from session
return redirect( # Also logout from your tenant's web session
app_config.AUTHORITY + "/oauth2/v2.0/logout" +
"?post_logout_redirect_uri=" + url_for("index", _external=True))
@app.route("/graphcall")
def graphcall():
token = _get_token_from_cache(app_config.SCOPE)
if not token:
return redirect(url_for("login"))
graph_data = requests.get( # Use token to call downstream service
app_config.ENDPOINT,
headers={'Authorization': 'Bearer ' + token['access_token']},
).json()
return render_template('graph.html', result=graph_data)
def _load_cache():
cache = msal.SerializableTokenCache()
if session.get("token_cache"):
cache.deserialize(session["token_cache"])
return cache
def _save_cache(cache):
if cache.has_state_changed:
session["token_cache"] = cache.serialize()
def _build_msal_app(cache=None, authority=None):
return msal.ConfidentialClientApplication(
app_config.CLIENT_ID, authority=authority or app_config.AUTHORITY,
client_credential=app_config.CLIENT_SECRET, token_cache=cache)
def _build_auth_code_flow(authority=None, scopes=None):
return _build_msal_app(authority=authority).initiate_auth_code_flow(
scopes or [],
redirect_uri=url_for("authorized", _external=True))
def _get_token_from_cache(scope=None):
cache = _load_cache() # This web app maintains one cache per session
cca = _build_msal_app(cache=cache)
accounts = cca.get_accounts()
if accounts: # So all account(s) belong to the current signed-in user
result = cca.acquire_token_silent(scope, account=accounts[0])
_save_cache(cache)
return result
app.jinja_env.globals.update(_build_auth_code_flow=_build_auth_code_flow) # Used in template
if __name__ == "__main__":
app.run()
Шаг 6. Запуск веб-приложения
В терминале запустите приложение, введя следующую команду, которая запускает сервер разработки Flask. Сервер разработки по умолчанию ищет app.py . Затем откройте браузер и перейдите по URL-адресу веб-приложения: http://localhost:5000
[Необязательно] Отладка приложения
Функция отладки дает возможность приостановить запущенную программу в определенной строке кода. При приостановке программы можно проверить переменные, запустить код на панели консоли отладки и в противном случае воспользоваться функциями, описанными в отладке. Чтобы использовать отладчик Visual Studio Code, ознакомьтесь с документацией по VS Code.
Чтобы изменить имя узла и (или) номер порта, используйте args массив launch.json файла. В следующем примере показано, как настроить имя узла на localhost и номер порта на 5001. Обратите внимание, что при изменении имени узла или номера порта необходимо обновить URI перенаправления или приложение. Дополнительные сведения см. в шаге регистрации веб-приложения .
{
// Use IntelliSense to learn about possible attributes.
// Hover to view descriptions of existing attributes.
// For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387
"version": "0.2.0",
"configurations": [
{
"name": "Python: Flask",
"type": "python",
"request": "launch",
"module": "flask",
"env": {
"FLASK_APP": "app.py",
"FLASK_ENV": "development"
},
"args": [
"run",
"--host=localhost",
"--port=5001"
],
"jinja": true,
"justMyCode": true
}
]
}