Oauthlib: Serveur OAuth2 - Prise en charge des jetons JWT

Est-ce encore en cours d'élaboration ?

@bigblind Il a été récemment mis en œuvre.
Cependant, ce problème devrait rester ouvert jusqu'à ce que la RFC du jeton JWT soit finalisée.

@thedrow Si cela a été implémenté, existe-t-il une documentation sur la façon de l'utiliser? Le RTD pointe simplement ici et rien dans le code source ne semble m'apparaître.

Il n'y a pas de documentation actuellement puisque la norme n'est pas encore finalisée.

Sauf erreur, il semble que la norme soit finalisée : https://tools.ietf.org/html/rfc7523

Il s'agit désormais d'une proposition de norme, ce qui signifie qu'elle est en cours de finalisation. À moins que quelque chose d'inattendu ne se produise, il sera finalisé dans les prochains mois. Je pense qu'il est sûr de dire que nous pouvons commencer à le mettre en œuvre. Des volontaires?

Salut @thedrow , le jwt c'est implémenté, ça va ?, savez-vous s'il existe un fournisseur django qui l'utilise ?, merci.

@Antherkiv L'implémentation actuelle est conforme à la 4ème ébauche de la spécification. Quelqu'un doit le mettre à niveau avec la spécification finalisée actuelle.
Je ne connais aucun fournisseur Django qui l'utilise.

Il semble y avoir une certaine confusion. Je lis ici que les gens pensent qu'un _serveur_ a été implémenté. Je ne vois qu'un client : ServiceApplicationClient . Si un serveur a effectivement été implémenté, quelqu'un m'indiquerait-il ?

@clintonb On dirait que tu as raison. Le serveur n'est pas implémenté.

Des travaux ont-ils été effectués à ce sujet ?

Je n'ai pas besoin de cette fonctionnalité pour l'instant donc non.
Si vous en avez besoin, n'hésitez pas à émettre un PR.

Nous pourrions certainement utiliser cette fonctionnalité. Cela serait-il utile à quelqu'un d'autre ?

attendez, n'est-il pas déjà pris en charge? lesigned_token_generator utilise jwt et vous avez juste besoin de passer ce générateur au serveur ?

Je suppose que je ne suis pas tout à fait sûr que ce problème concerne l' utilisation d' un JWT pour demander un jeton d'accès oauth2 ou la génération d'un jeton JWT en tant que access_token, mon commentaire précédent faisait référence à ce dernier cas ...

Je suis profondément intéressé à m'assurer que le support JWT/RFC7519 est ajouté et j'aimerais faire tout ce qui est nécessaire pour m'assurer que cela est ajouté dès que possible car cela ne semble pas fonctionner.

C'est mon chemin critique personnel et professionnel actuel.

1. Comment puis-je aider au mieux pour m'assurer que cela est pris en charge ?
2. Comment puis-je contribuer au mieux ?
3. Si j'ai fait le travail et fait en sorte que tous les tests soient réussis, est-ce que c'est tout ce qui est nécessaire pour que le PR soit accepté ?
4. J'ai remarqué d'autres changements en attente qui traitent des JWT qui ne sont pas fusionnés en jet ; manquent-ils quelque chose dont je dois être au courant pour obtenir mon propre RP ?

Je n'ai pas vu de « guide des contributeurs » vérifié dans la source ; donc demander ici car mon besoin actuel est très ciblé sur JWT et les docs disent tous de suivre cela ici.

Il semble, sur la base des recherches initiales, que la prise en charge de JWT peut simplement concerner la mise en œuvre de RequestValidator utilisé, ainsi que l'injection de 2 méthodes pour la création de jetons.

Si non, est-ce au moins l'objectif actuel de l'architecture oauthlib ?

D'un coup d'œil rapide à travers le code, il apparaît que #488 a ajouté la plupart/tous les points de crochet qui seraient nécessaires pour générer et valider les jetons JWT. (Esprit non testé, mais il semble prometteur)

Le plus gros problème est d'ajouter des tests pour être sûr que si un crochet n'est pas utilisé d'une manière ou d'une autre, il ne nous mord pas comme les fusions précédentes l'ont fait.

Nous devrions exiger des bases de test positives et négatives dans le cadre des fusions futures.

Mise à jour : le problème initial présenté par ce problème est incorrect et obsolète, car le lien auquel il est lié n'est plus valide et a été précédé des RFC. Le lien OP devra donc être modifié pour refléter cela afin d'atténuer la confusion @ ib-lundgren car vous vous connectez maintenant à d'anciennes données.

Les RFC corrects :

• https://tools.ietf.org/html/rfc7159 - RFC JWT de base
• https://tools.ietf.org/html/rfc7523 - Utilisation de JWT avec OAuth2

Clôturant ce problème de longue date qui discutait initialement du profil JWT pour l'authentification client et les octrois d'autorisation (voir Docs/Grants/JWT ), mais a divergé vers JWT Tokens , qui est actuellement implémenté (voir comment utiliser les jetons JWT sur Docs/Tokens/Bearer- JWT ).

Rouvrez un nouveau problème si quelqu'un souhaite implémenter le profil JWT pour l'authentification client et les autorisations d' accès, alias