Использование APIImostmost через gitlab oauth в качестве конечного пользователя с именем пользователя и паролем (без client_secret)
В нашей команде мы используем gitlab ( https://git.example/) и связанный с ним чат ( https://chat.example/).
Прежде всего, нам бы хотелось иметь выделенного пользователя-бота (веб-хуки имеют ограничения по сравнению с частными каналами и т. Д.), Который фактически входит в систему точно так же, как обычный пользователь.
Мы создали этого пользователя в gitlab и можем войти в наш чат с ним через chrome (войти в чат redir -> gitlab oauth, ввести имя пользователя и pw -> redir вернуться в чат -> authed).
Теперь я искал библиотеки Python, которые действительно могут это сделать, но я могу найти только те, которые требуют client_id а также client_secret... Из моего понимания (пожалуйста, поправьте меня, если я ошибаюсь) это не то, что мы ищем, так как мы не хотим создавать другое приложение для аутентификации через gitlab, но войдите в наш чат (который уже имеет id (известный) и secret (неизвестно)) как пользователь через gitlab.
Поскольку мы не смогли найти такую библиотеку, мы также проверили сетевые запросы в chrome и попытались воссоздать ее в python через requests, но не могу заставить его работать (само собой разумеется, что это включает в себя синтаксический анализ токенов html и csrf)...
Взяв еще одну попытку и много догадок, мы попытались приобрести access_token вручную через
client_id = 'the one of mattermost in our gitlab'
user = 'username'
pw = 'password'
r = requests.post(
'https://git.example/oauth/token',
data={
"grant_type": "password",
"username": user,
"password": pw,
"client_id": client_id,
}
)
access_token = r.json()['access_token']
Кажется, это работает (и токен выглядит хорошо), но использование его в самом важном API приводит только к 401:
ri = requests.get(
'https://chat.example/api/v1/users/me',
headers={'Authorization': 'Bearer ' + access_token}
)
ri.status_code, ri.json()
(401,
{u'detailed_error': u'token=...xxx...',
u'id': u'api.context.session_expired.app_error',
u'is_oauth': False,
u'message': u'Invalid or expired session, please login again.',
u'request_id': u'...yyy...',
u'status_code': 401})
К сожалению, http://docs.mattermost.com/developer/web-service.html настоящее время не проливает больше света на это, поэтому я спрашиваю здесь. Может быть, я пропустил что-то очевидное, чтобы "активировать" это access_token в сущности?
1 ответ
На самом деле, я наконец запустил это, имитировав поведение браузера следующим образом, но я все еще был бы заинтересован в более универсальном решении, которое не включает в себя разбор HTML-кода сервера gitlab...:
import requests
from pyquery import PyQuery as pq
client_id = '...your_mattermost_client_id...'
user = '...username...'
pw = '...userpass...'
gitlab = 'https://git.example'
chat = 'https://chat.example'
team = '/your_team'
r = requests.get(
chat + team + '/login/gitlab'
)
q = pq(r.content)
csrf_token = q('#new_ldap_user input[name="authenticity_token"]')[0].value # watch out, several tokens for ldap vs. normal login, inspect the page to find correct one
r2 = requests.post(
gitlab + '/users/auth/ldapmain/callback', # or whatever the browser callback for your auth-method was
cookies=r.cookies,
data={
'authenticity_token': csrf_token,
'username': user,
'password': pw,
}
)
# print [h.url for h in r2.history] + [r2.url] # to check the redirects
me = requests.get(
chat + '/api/v1/users/me',
cookies=r2.cookies,
)
print me.json() # if everything went well you're now authorized
# remember to set cookies in the follow-up requests