3

Django v1.5.3 アプリケーションでドロップボックス API v1.6 用に説明されているDropboxOAuth2Flowメソッドを使用していますが、ドロップボックス oauth2 認証ページにリダイレクトされると 400 エラーが発生します。

dropbox_auth_start URL にアクセスすると、以下にリダイレクトされます。

https://www.dropbox.com/1/oauth2/authorize?state=tWd4Eh4nzk5NlcuHXe7ffA%3D%3D&redirect_uri=http%3A%2F%2Fmydomain.com%2Fdropbox_auth_finish&response_type=code&client_id=blahblahblah

そして、400 エラーが発生します。

ちなみに、「dropbox-auth-csrf-token」はセッションファイルに書かれています。

私のジャンゴコード:

ビュー.py

def get_dropbox_auth_flow(web_app_session):
    redirect_uri = "http://www.mydomain.com"
    return DropboxOAuth2Flow('blahblahblah', 'blehblehbleh', redirect_uri, web_app_session, "dropbox-auth-csrf-token")

# URL handler for /dropbox-auth-start
def dropbox_auth_start(request):
    authorize_url = get_dropbox_auth_flow(request.session).start()
    return HttpResponseRedirect(authorize_url)

# URL handler for /dropbox-auth-finish
def dropbox_auth_finish(request):
    try:
        access_token, user_id, url_state = get_dropbox_auth_flow(request.session).finish(request.GET)
    except DropboxOAuth2Flow.BadRequestException, e:
        http_status(400)
    except DropboxOAuth2Flow.BadStateException, e:
        # Start the auth flow again.
        return HttpResponseRedirect("http://www.mydomain.com/dropbox_auth_start")
    except DropboxOAuth2Flow.CsrfException, e:
        return HttpResponseForbidden()
    except DropboxOAuth2Flow.NotApprovedException, e:
        raise e
    except DropboxOAuth2Flow.ProviderException, e:
        raise e

urls.py

from django.conf.urls import patterns, url, include
from django.contrib import admin
admin.autodiscover()


urlpatterns = patterns('',
    url(r'^dropbox_auth_start/?$',views.dropbox_auth_start),
    url(r'^dropbox_auth_finish/?$',views.dropbox_auth_finish),
)
4

2 に答える 2

2

私は最近これに問題があり、私のサイト リンクは常に https リンクを使用していました。私のソリューションが完全に有効かどうか、または安全かどうかはわかりませんが、当面は、私のサービスで多くの悪いサインアップの問題を引き起こしているバグを止めます.

場合によっては、ユーザーがドロップボックスにリダイレクトされて戻ってくると、Django セッション レイヤーが機能しないように見えるため、CSRF トークンがコールバック応答の「状態」パラメーターとしてアプリに返されるようです。私の解決策は、csrfセッションキーが存在するかどうか、パラメータ「状態」から取得しないかどうかを確認する認証のためにビューハンドラーでチェックを行い、ドロップボックスリクエスト認証フローを呼び出す前にセッションに追加することです。

    try:
        if request.session["dropbox-auth-csrf-token"] is None or request.session["dropbox-auth-csrf-token"] == "":
            raise Exception("Problem with csrf")
    except Exception, e:
        #Get it from the parameter and add it to the session.
        csrf = request.GET.get("state")
        request.session["dropbox-auth-csrf-token"] = csrf

    access_token, user_id, url_state = \
            get_dropbox_auth_flow(request.session).finish(request.GET)

セッションが何らかの理由で機能しない場合に状態変数のリクエストパラメーターをチェックするために、ドロップボックスのDjangoライブラリに追加できる全体的な修正であるかどうかはわかりません。これは実際にはセキュリティ上の問題かもしれません。今のところ、サインアップの問題は解決しています。

于 2014-02-05T16:41:06.337 に答える
2

@smarxが言ったように、私はHTTPとHTTPSから切り替えたところ、すべてうまくいきました.

于 2013-11-04T14:06:47.223 に答える