Python и AzureAD с примером Flask - ms-identity- python -webapp только периодический вход в систему

Question

Я пытаюсь настроить пример аутентификации Azure AD отсюда: https://github.com/Azure-Samples/ms-identity-python-webapp

У меня установлены все конфигурации и разрешения в AzureAD, но я периодически возникают проблемы с возможностью входа в систему.

Я преследовал проблему из-за того, что ключи сеанса либо не записываются, либо читаются неправильно в пределах session.get ('user'):

def index():
    if not session.get("user"):
        return redirect(url_for("login"))
    return render_template('index.html', user=session["user"], version=msal.__version__)

кроме того,

if request.args.get('state') != session.get("state"):
    return redirect(url_for("index"))  # No-OP. Goes back to Index page

никогда не возвращает true, но если я закомментирую это, иногда все будет работать, он войдет в систему и разрешит доступ к приложению графика.

Я установил каталог flask_session локально, и он создает кеши (около 8 КБ) для каждого входа в систему.

Кажется, что помогает очистка папки flask_session и перезапуск приложения, но ненадежно.

Любая помощь будет принята с благодарностью!

полный пример скопирован здесь для удобства:

import uuid
import requests
from flask import Flask, render_template, session, request, redirect, url_for
from flask_session import Session  # https://pythonhosted.org/Flask-Session
import msal
import app_config


app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

# This section is needed for url_for("foo", _external=True) to automatically
# generate http scheme when this sample is running on localhost,
# and to generate https scheme when it is deployed behind reversed proxy.
# See also https://flask.palletsprojects.com/en/1.0.x/deploying/wsgi-standalone/#proxy-setups
from werkzeug.middleware.proxy_fix import ProxyFix
app.wsgi_app = ProxyFix(app.wsgi_app, x_proto=1, x_host=1)

@app.route("/")
def index():
    if not session.get("user"):
        return redirect(url_for("login"))
    return render_template('index.html', user=session["user"], version=msal.__version__)

@app.route("/login")
def login():
    session["state"] = str(uuid.uuid4())
    # Technically we could use empty list [] as scopes to do just sign in,
    # here we choose to also collect end user consent upfront
    auth_url = _build_auth_url(scopes=app_config.SCOPE, state=session["state"])
    return render_template("login.html", auth_url=auth_url, version=msal.__version__)

@app.route(app_config.REDIRECT_PATH)  # Its absolute URL must match your app's redirect_uri set in AAD
def authorized():
    if request.args.get('state') != session.get("state"):
        return redirect(url_for("index"))  # No-OP. Goes back to Index page
    if "error" in request.args:  # Authentication/Authorization failure
        return render_template("auth_error.html", result=request.args)
    if request.args.get('code'):
        cache = _load_cache()
        result = _build_msal_app(cache=cache).acquire_token_by_authorization_code(
            request.args['code'],
            scopes=app_config.SCOPE,  # Misspelled scope would cause an HTTP 400 error here
            redirect_uri=url_for("authorized", _external=True))
        if "error" in result:
            return render_template("auth_error.html", result=result)
        session["user"] = result.get("id_token_claims")
        _save_cache(cache)
    return redirect(url_for("index"))

@app.route("/logout")
def logout():
    session.clear()  # Wipe out user and its token cache from session
    return redirect(  # Also logout from your tenant's web session
        app_config.AUTHORITY + "/oauth2/v2.0/logout" +
        "?post_logout_redirect_uri=" + url_for("index", _external=True))

@app.route("/graphcall")
def graphcall():
    token = _get_token_from_cache(app_config.SCOPE)
    if not token:
        return redirect(url_for("login"))
    graph_data = requests.get(  # Use token to call downstream service
        app_config.ENDPOINT,
        headers={'Authorization': 'Bearer ' + token['access_token']},
        ).json()
    return render_template('display.html', result=graph_data)


def _load_cache():
    cache = msal.SerializableTokenCache()
    if session.get("token_cache"):
        cache.deserialize(session["token_cache"])
    return cache

def _save_cache(cache):
    if cache.has_state_changed:
        session["token_cache"] = cache.serialize()

def _build_msal_app(cache=None, authority=None):
    return msal.ConfidentialClientApplication(
        app_config.CLIENT_ID, authority=authority or app_config.AUTHORITY,
        client_credential=app_config.CLIENT_SECRET, token_cache=cache)

def _build_auth_url(authority=None, scopes=None, state=None):
    return _build_msal_app(authority=authority).get_authorization_request_url(
        scopes or [],
        state=state or str(uuid.uuid4()),
        redirect_uri=url_for("authorized", _external=True))

def _get_token_from_cache(scope=None):
    cache = _load_cache()  # This web app maintains one cache per session
    cca = _build_msal_app(cache=cache)
    accounts = cca.get_accounts()
    if accounts:  # So all account(s) belong to the current signed-in user
        result = cca.acquire_token_silent(scope, account=accounts[0])
        _save_cache(cache)
        return result

app.jinja_env.globals.update(_build_auth_url=_build_auth_url)  # Used in template

if __name__ == "__main__":
    app.run()

Answer 1

Я являюсь одним из сопровождающих примера аутентификации Azure AD отсюда: https://github.com/Azure-Samples/ms-identity-python-webapp, и я являюсь автором репозитория обходного пути https://github.com/rayluo/flask-session

На момент написания этой статьи непрямой восходящий модуль, cachelib, выпустил исправление для этих 2 дней go, примерно в то же время, когда вы столкнулись с этой проблемой. Итак, для будущих читателей: вам не нужно явно переключаться на использование вышеупомянутого обходного пути. Этот образец Azure веб-приложения AD правильно объявит нужные ему зависимости.

Answer 2

Я нашел решение, или, точнее говоря, моя ошибка:

Это репо: https://github.com/rayluo/flask-session

Не то же самое, что это: https://github.com/fengsp/flask-session

Включенный файл requirements.txt загружает новую / поддерживаемую flask -сессию из rayluo (спасибо!), А не из pip.

Так что, если кто-то еще обнаружит это, убедитесь, что вы используете правильную версию!