概述
Chainlit 应用程序默认为公开。要启用身份验证并将您的应用程序设为私有,您需要:
定义一个CHAINLIT_AUTH_SECRET环境变量。这是一个用于签署身份验证令牌的秘密字符串。您可以随时更改它,但它会注销所有用户。您可以使用 轻松生成一个chainlit create-secret。
向您的应用添加一个或多个身份验证回调:
密码验证
使用登录名/密码验证用户。
OAuth授权
使用您自己的 OAuth 应用程序(如 Google等)对用户进行身份验证。
header验证
根据自定义标头对用户进行身份验证。
每个回调接受不同的输入并可选地返回一个cl.User对象。如果回调返回None,则认为身份验证失败。
确保每个用户都有一个唯一的标识符,以防止他们共享其数据。
获取当前已认证的用户
您可以通过用户会话访问当前经过身份验证的用户。
@cl.on_chat_startasync def on_chat_start(): app_user = cl.user_session.get("user") await cl.Message(f"Hello {app_user.identifier}").send()密码验证
@cl.password_auth_callback从登录表单接收用户名和密码。返回一个对象cl.User将对用户进行身份验证,否则None将导致身份验证失败。
您可以根据您想要的任何服务(您自己的数据库、私人 Google 表格等)验证凭据。
这里适用通常的最佳安全做法,即在存储密码之前对其进行哈希处理。
例子
from typing import Optionalimport chainlit as cl@cl.password_auth_callbackdef auth_callback(username: str, password: str): # Fetch the user matching username from your database # and compare the hashed password with the value stored in the database if (username, password) == ("admin", "admin"): return cl.User( identifier="admin", metadata={"role": "admin", "provider": "credentials"} ) else: return NoneOAuth授权
OAuth 允许您使用第三方服务来验证您的用户。
要激活 OAuth 提供程序,您需要在代码中定义 OAuth 回调和提供程序环境变量。
提供者
按照这些指南为您选择的提供商创建 OAuth 应用。然后将信息复制到正确的环境变量中以激活提供商。
如果您的应用程序在反向代理(如 cloud run)后面运行,则必须设置CHAINLIT_URL环境变量。例如,如果您将应用程序托管在https://mydomain.com,CHAINLIT_URL则应将其设置为 https://mydomain.com。
GitHub
转到此页面创建一个新的 GitHub OAuth 应用程序。
回调 URL 应为:CHAINLIT_URL/auth/oauth/github/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/github/callback。
您需要设置以下环境变量:
OAUTH_GITHUB_CLIENT_ID: 客户端 IDOAUTH_GITHUB_CLIENT_SECRET: 客户端密匙
GitLab
转到此页面创建一个新的GitLab OAuth 应用程序。创建应用程序时,您需要允许openid、profile和email范围。
回调 URL 应为:CHAINLIT_URL/auth/oauth/gitlab/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/gitlab/callback。
您需要设置以下环境变量:
OAUTH_GITLAB_CLIENT_ID: 客户端 IDOAUTH_GITLAB_CLIENT_SECRET: 客户端密匙OAUTH_GITLAB_DOMAIN:域名(不带协议)
google 谷歌
转到此页面创建一个新的 Google OAuth 应用程序。
回调 URL 应为:CHAINLIT_URL/auth/oauth/google/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/google/callback。
您需要设置以下环境变量:
OAUTH_GOOGLE_CLIENT_ID: 客户端 IDOAUTH_GOOGLE_CLIENT_SECRET: 客户端密匙
Azure Active Directory
按照本指南创建一个新的 Azure Active Directory OAuth 应用程序。
回调 URL 应为:CHAINLIT_URL/auth/oauth/azure-ad/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/azure-ad/callback。
您需要设置以下环境变量:
OAUTH_AZURE_AD_CLIENT_ID: 客户端 IDOAUTH_AZURE_AD_CLIENT_SECRET: 客户端密匙OAUTH_AZURE_AD_TENANT_ID:Azure 租户 ID如果您的应用程序支持“仅限此组织目录中的帐户”(单租户),则需要明确设置: OAUTH_AZURE_AD_ENABLE_SINGLE_TENANT=true。如果不支持,则根本不要设置此环境变量。
Okta
按照本指南创建 OIDC 应用程序集成。
回调 URL 应为:CHAINLIT_URL/auth/oauth/okta/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/okta/callback。
您需要设置以下环境变量:
OAUTH_OKTA_CLIENT_ID: 客户端 IDOAUTH_OKTA_CLIENT_SECRET: 客户端密匙OAUTH_OKTA_DOMAIN:您的 okta 设置的域名 - 例如https://company.okta.com有几种方法可以配置 Okta OAuth 路由:
当使用单点登录到 Okta设置时,您需要将OAUTH_OKTA_AUTHORIZATION_SERVER_ID环境变量设置为false。
当使用 Okta作为您的应用或 API 的身份平台时:
如果你有开发者账户,请设置OAUTH_OKTA_AUTHORIZATION_SERVER_ID环境变量,default
或者将其设置为来自自定义授权服务器的授权服务器 ID。
Descope
前往Descope 注册页面,开始使用您的帐户并设置您的身份验证。
回调 URL 应为:CHAINLIT_URL/auth/oauth/descope/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/descope/callback。
您需要设置以下环境变量:
OAUTH_DESCOPE_CLIENT_ID:Descope项目ID,可以在控制台的项目设置下找到。OAUTH_DESCOPE_CLIENT_SECRET:Descope Access Key,可以在控制台的Access Keys下创建。Auth0
按照本指南创建 Auth0 应用程序。
回调 URL 应为:CHAINLIT_URL/auth/oauth/auth0/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/auth0/callback。
您需要设置以下环境变量:
OAUTH_AUTH0_CLIENT_ID: 客户端 IDOAUTH_AUTH0_CLIENT_SECRET: 客户端密匙OAUTH_AUTH0_DOMAIN:您的 auth0 设置的域名可选的环境变量:
OAUTH_AUTH0_ORIGINAL_DOMAIN:如果您使用自定义域,则为 auth0 设置的原始域名
Amazon Cognito
按照本指南创建新的 Amazon Cognito 用户池。
回调 URL 应为:CHAINLIT_URL/auth/oauth/aws-cognito/callback。如果您的 Chainlit 应用托管在 localhost:8000,则应使用http://localhost:8000/auth/oauth/aws-cognito/callback。
您需要设置以下环境变量:
OAUTH_COGNITO_CLIENT_ID: 客户端 IDOAUTH_COGNITO_CLIENT_SECRET: 客户端密匙OAUTH_COGNITO_DOMAIN: Cognito 域
示例
允许所有通过oauth认证的用户。
from typing import Dict, Optionalimport chainlit as cl@cl.oauth_callbackdef oauth_callback( provider_id: str, token: str, raw_user_data: Dict[str, str], default_user: cl.User,) -> Optional[cl.User]: return default_user
仅允许来自特定 Google 域的用户。
from typing import Dict, Optionalimport chainlit as cl@cl.oauth_callbackdef oauth_callback( provider_id: str, token: str, raw_user_data: Dict[str, str], default_user: cl.User,) -> Optional[cl.User]: if provider_id == "google": if raw_user_data["hd"] == "example.org": return default_user return Noneheader验证
Header auth 是一种使用标头对用户进行身份验证的简单方法。它通常用于将身份验证委托给反向代理。
例子
from typing import Optionalimport chainlit as cl@cl.header_auth_callbackdef header_auth_callback(headers: Dict) -> Optional[cl.User]: # Verify the signature of a token in the header (ex: jwt token) # or check that the value is matching a row from your database if headers.get("test-header") == "test-value": return cl.User(identifier="admin", metadata={"role": "admin", "provider": "header"}) else: return None