Chainlit web UI的三种用户访问验证详解

概述

Chainlit 应用程序默认为公开。要启用身份验证并将您的应用程序设为私有，您需要：

定义一个CHAINLIT_AUTH_SECRET环境变量。这是一个用于签署身份验证令牌的秘密字符串。您可以随时更改它，但它会注销所有用户。您可以使用 轻松生成一个chainlit create-secret。
向您的应用添加一个或多个身份验证回调：

• 密码验证
  使用登录名/密码验证用户。

• OAuth授权
  使用您自己的 OAuth 应用程序（如 Google等）对用户进行身份验证。

• header验证
  根据自定义标头对用户进行身份验证。

每个回调接受不同的输入并可选地返回一个cl.User对象。如果回调返回None，则认为身份验证失败。

确保每个用户都有一个唯一的标识符，以防止他们共享其数据。

​

获取当前已认证的用户

您可以通过用户会话访问当前经过身份验证的用户。

@cl.on_chat_start
async def on_chat_start():app_user = cl.user_session.get("user")await cl.Message(f"Hello {app_user.identifier}").send()

密码验证

@cl.password_auth_callback从登录表单接收用户名和密码。返回一个对象cl.User将对用户进行身份验证，否则None将导致身份验证失败。

您可以根据您想要的任何服务（您自己的数据库、私人 Google 表格等）验证凭据。

这里适用通常的最佳安全做法，即在存储密码之前对其进行哈希处理。

例子

from typing import Optional
import chainlit as cl@cl.password_auth_callback
def auth_callback(username: str, password: str):# Fetch the user matching username from your database# and compare the hashed password with the value stored in the databaseif (username, password) == ("admin", "admin"):return cl.User(identifier="admin", metadata={"role": "admin", "provider": "credentials"})else:return None

OAuth授权

OAuth 允许您使用第三方服务来验证您的用户。

要激活 OAuth 提供程序，您需要在代码中定义 OAuth 回调和提供程序环境变量。

​

提供者

按照这些指南为您选择的提供商创建 OAuth 应用。然后将信息复制到正确的环境变量中以激活提供商。

如果您的应用程序在反向代理（如 cloud run）后面运行，则必须设置CHAINLIT_URL环境变量。例如，如果您将应用程序托管在https://mydomain.com，CHAINLIT_URL则应将其设置为 https://mydomain.com。

​

GitHub

转到此页面创建一个新的 GitHub OAuth 应用程序。

回调 URL 应为：CHAINLIT_URL/auth/oauth/github/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/github/callback。

您需要设置以下环境变量：

OAUTH_GITHUB_CLIENT_ID: 客户端 ID
OAUTH_GITHUB_CLIENT_SECRET: 客户端密匙

​

GitLab

转到此页面创建一个新的GitLab OAuth 应用程序。创建应用程序时，您需要允许openid、profile和email范围。

回调 URL 应为：CHAINLIT_URL/auth/oauth/gitlab/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/gitlab/callback。

您需要设置以下环境变量：

OAUTH_GITLAB_CLIENT_ID: 客户端 ID
OAUTH_GITLAB_CLIENT_SECRET: 客户端密匙
OAUTH_GITLAB_DOMAIN：域名（不带协议）

​

google 谷歌

转到此页面创建一个新的 Google OAuth 应用程序。

回调 URL 应为：CHAINLIT_URL/auth/oauth/google/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/google/callback。

您需要设置以下环境变量：

OAUTH_GOOGLE_CLIENT_ID: 客户端 ID
OAUTH_GOOGLE_CLIENT_SECRET: 客户端密匙

​

Azure Active Directory

按照本指南创建一个新的 Azure Active Directory OAuth 应用程序。

回调 URL 应为：CHAINLIT_URL/auth/oauth/azure-ad/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/azure-ad/callback。

您需要设置以下环境变量：

OAUTH_AZURE_AD_CLIENT_ID: 客户端 ID
OAUTH_AZURE_AD_CLIENT_SECRET: 客户端密匙
OAUTH_AZURE_AD_TENANT_ID：Azure 租户 ID

如果您的应用程序支持“仅限此组织目录中的帐户”（单租户），则需要明确设置： OAUTH_AZURE_AD_ENABLE_SINGLE_TENANT=true。如果不支持，则根本不要设置此环境变量。

​

Okta

按照本指南创建 OIDC 应用程序集成。

回调 URL 应为：CHAINLIT_URL/auth/oauth/okta/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/okta/callback。

您需要设置以下环境变量：

OAUTH_OKTA_CLIENT_ID: 客户端 ID
OAUTH_OKTA_CLIENT_SECRET: 客户端密匙
OAUTH_OKTA_DOMAIN：您的 okta 设置的域名 - 例如https://company.okta.com

有几种方法可以配置 Okta OAuth 路由：

当使用单点登录到 Okta设置时，您需要将OAUTH_OKTA_AUTHORIZATION_SERVER_ID环境变量设置为false。
当使用 Okta作为您的应用或 API 的身份平台时：
如果你有开发者账户，请设置OAUTH_OKTA_AUTHORIZATION_SERVER_ID环境变量，default
或者将其设置为来自自定义授权服务器的授权服务器 ID。

Descope

前往Descope 注册页面，开始使用您的帐户并设置您的身份验证。

回调 URL 应为：CHAINLIT_URL/auth/oauth/descope/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/descope/callback。

您需要设置以下环境变量：

OAUTH_DESCOPE_CLIENT_ID：Descope项目ID，可以在控制台的项目设置下找到。
OAUTH_DESCOPE_CLIENT_SECRET：Descope Access Key，可以在控制台的Access Keys下创建。
​

Auth0

按照本指南创建 Auth0 应用程序。

回调 URL 应为：CHAINLIT_URL/auth/oauth/auth0/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/auth0/callback。

您需要设置以下环境变量：

OAUTH_AUTH0_CLIENT_ID: 客户端 ID
OAUTH_AUTH0_CLIENT_SECRET: 客户端密匙
OAUTH_AUTH0_DOMAIN：您的 auth0 设置的域名

可选的环境变量：

OAUTH_AUTH0_ORIGINAL_DOMAIN：如果您使用自定义域，则为 auth0 设置的原始域名
​

Amazon Cognito

按照本指南创建新的 Amazon Cognito 用户池。

回调 URL 应为：CHAINLIT_URL/auth/oauth/aws-cognito/callback。如果您的 Chainlit 应用托管在 localhost:8000，则应使用http://localhost:8000/auth/oauth/aws-cognito/callback。

您需要设置以下环境变量：

OAUTH_COGNITO_CLIENT_ID: 客户端 ID
OAUTH_COGNITO_CLIENT_SECRET: 客户端密匙
OAUTH_COGNITO_DOMAIN: Cognito 域

​

示例

​

允许所有通过oauth认证的用户。

from typing import Dict, Optional
import chainlit as cl@cl.oauth_callback
def oauth_callback(provider_id: str,token: str,raw_user_data: Dict[str, str],default_user: cl.User,
) -> Optional[cl.User]:return default_user

​

仅允许来自特定 Google 域的用户。

from typing import Dict, Optional
import chainlit as cl@cl.oauth_callback
def oauth_callback(provider_id: str,token: str,raw_user_data: Dict[str, str],default_user: cl.User,
) -> Optional[cl.User]:if provider_id == "google":if raw_user_data["hd"] == "example.org":return default_userreturn None

header验证

Header auth 是一种使用标头对用户进行身份验证的简单方法。它通常用于将身份验证委托给反向代理。

例子

from typing import Optionalimport chainlit as cl@cl.header_auth_callback
def header_auth_callback(headers: Dict) -> Optional[cl.User]:# Verify the signature of a token in the header (ex: jwt token)# or check that the value is matching a row from your databaseif headers.get("test-header") == "test-value":return cl.User(identifier="admin", metadata={"role": "admin", "provider": "header"})else:return None