Libreria de autenticacion OIDC con Keycloak para FastAPI
Project description
Auth Guardian
Librería para integrar FastAPI con Keycloak sin complicarte con OIDC desde cero.
¿Para qué sirve?
Con auth-guardian tienes listo:
- Login OIDC con Keycloak.
- Rutas
/login,/oidc/callbacky/logout. - Protección de endpoints autenticados.
- Protección por rol (
admin, etc.). - Validación en tiempo real por introspection.
- Logout con revocación inmediata del refresh token.
Instalación
pip install auth-guardian
Requisitos: Python >= 3.10
Configuración rápida
1. Variables de entorno obligatorias
La librería falla al iniciar con un mensaje claro si falta alguna de estas:
KEYCLOAK_BASE_URL=
KEYCLOAK_REALM=
KEYCLOAK_CLIENT_ID=
KEYCLOAK_CLIENT_SECRET=
KEYCLOAK_CLIENT_SECRETse usa tanto para introspection como para firmar/verificar elstateanti-CSRF.
2. Configuración en Keycloak
Antes de arrancar, verifica que tu cliente en Keycloak esté configurado correctamente:
- Crear cliente de tipo OIDC.
- Activar Client authentication (cliente confidencial).
- Configurar el Client Secret.
- Agregar la Redirect URI de tu app para el callback OIDC.
- Asignar roles en realm o client según tu modelo de autorización.
Integración con FastAPI
La forma más simple:
- Copia el archivo de ejemplo:
examples/auth.py
- Levántalo:
uvicorn examples.auth:app --reload
Ese ejemplo ya trae todo:
- login
- callback
- logout
- endpoint protegido (
/perfil) - endpoint por rol (
/admin) - registro opcional (
/register)
Si quieres activar /register, agrega:
AUTH_ENABLE_REGISTER=true
KEYCLOAK_ADMIN_CLIENT_ID=
KEYCLOAK_ADMIN_CLIENT_SECRET=
Si prefieres integrarlo manualmente en tu propia app, este es el mínimo:
from fastapi import Depends, FastAPI
from auth_guardian import AuthGuardian, create_auth_router
app = FastAPI()
auth = AuthGuardian()
app.include_router(create_auth_router(auth=auth))
@app.get("/perfil")
async def perfil(user: dict = Depends(auth.get_current_user)):
return user
Flujos de autenticación
1. Login OIDC
El usuario accede a /login y es redirigido al servidor Keycloak. Una vez que ingresa sus credenciales, Keycloak devuelve un code al callback, que la librería intercambia por los tokens.
2. Request protegido (introspection)
En cada request a un endpoint protegido, el token del cliente es validado en tiempo real contra Keycloak. No hay caché ni validación local por defecto.
3. Logout
El logout revoca el refresh token en Keycloak antes de borrar las cookies, garantizando que la sesión quede inválida de inmediato en el servidor.
Validación de token
AuthGuardian valida el token en cada request consultando a Keycloak en tiempo real mediante /token/introspect.
Comportamiento ante errores:
| Situación | Respuesta |
|---|---|
active: false |
401 Unauthorized |
| Keycloak no disponible | 503 Service Unavailable (sin exponer detalles internos) |
| API de Keycloak caída | Falla introspection aunque la BD de Keycloak esté activa |
API pública estable
Uso habitual:
AuthGuardiancreate_auth_routerauth.get_current_userauth.require_role
Troubleshooting
Missing required configuration variables
Causa: Falta una o más variables de entorno obligatorias.
Solución: Completar las cuatro variables en tu .env:
KEYCLOAK_BASE_URL=
KEYCLOAK_REALM=
KEYCLOAK_CLIENT_ID=
KEYCLOAK_CLIENT_SECRET=
Introspection devuelve 401 o 403
Causa: El cliente no está configurado como confidencial en Keycloak, o el secret es incorrecto.
Solución:
- Verificar
KEYCLOAK_CLIENT_SECRETen tu.env. - Confirmar que el cliente tiene Client authentication activado en Keycloak.
Login falla en callback (Redirect URI mismatch)
Causa: La Redirect URI configurada en Keycloak no coincide con la que usa la app.
Solución:
- Revisar la Valid Redirect URIs del cliente en Keycloak.
- Si estás detrás de un proxy inverso, verificar que se pasen correctamente las cabeceras
HostyX-Forwarded-*.
Release history Release notifications | RSS feed
Download files
Download the file for your platform. If you're not sure which to choose, learn more about installing packages.
Source Distribution
Built Distribution
Filter files by name, interpreter, ABI, and platform.
If you're not sure about the file name format, learn more about wheel file names.
Copy a direct link to the current filters
File details
Details for the file auth_guardian-0.1.21.tar.gz.
File metadata
- Download URL: auth_guardian-0.1.21.tar.gz
- Upload date:
- Size: 23.4 kB
- Tags: Source
- Uploaded using Trusted Publishing? No
- Uploaded via: twine/6.2.0 CPython/3.10.12
File hashes
| Algorithm | Hash digest | |
|---|---|---|
| SHA256 |
cff2a5fe5432eccf7da5d32a4721acdb2cf8d772d046008fe6b2687df8b6b5a6
|
|
| MD5 |
7a2c9eec1a3275082cdaf802964fa8a5
|
|
| BLAKE2b-256 |
df45aaea50333ee4c2b3fc454cb67fb6a86de838c656e4e49bc0d5510e803124
|
File details
Details for the file auth_guardian-0.1.21-py3-none-any.whl.
File metadata
- Download URL: auth_guardian-0.1.21-py3-none-any.whl
- Upload date:
- Size: 21.4 kB
- Tags: Python 3
- Uploaded using Trusted Publishing? No
- Uploaded via: twine/6.2.0 CPython/3.10.12
File hashes
| Algorithm | Hash digest | |
|---|---|---|
| SHA256 |
d5478dc8a40f67dda87b2c06ff7953edcd9da1935cb5c0b5c2b26ae02df00693
|
|
| MD5 |
fca340c455f881ab11be7b189b4b9da1
|
|
| BLAKE2b-256 |
c688f9f1f3260e30f5b4194855f1286f621d9811adcc192458ef2e85d211fe8e
|
