设置自定义身份验证（第一部分/共三部分）

这是身份验证系列的第一部分：

1. 基本身份验证（你现在在这里） - 控制谁可以访问你的机器人
2. 资源授权 - 让用户拥有私密对话
3. 生产认证 - 添加真实用户账户并使用OAuth2进行验证

先决条件

本指南假设您对以下概念有一定的了解：

• 身份验证与访问控制
• LangGraph平台

仅限Python

目前我们仅支持在使用langgraph-api>=0.0.11的Python部署中进行自定义身份验证和授权。对LangGraph.JS的支持将很快添加。

按部署类型支持

自定义身份验证支持所有在**托管LangGraph云**中的部署，以及**企业**自托管计划。它不支持**轻量级**自托管计划。

在本教程中，我们将构建一个聊天机器人，仅允许特定用户访问。我们将从LangGraph模板开始，并逐步添加基于令牌的安全性。最后，您将拥有一个可以检查有效令牌并在允许访问之前进行验证的聊天机器人。

设置项目

首先，让我们使用LangGraph启动模板创建一个新的聊天机器人：

pip install -U "langgraph-cli[inmem]"
langgraph new --template=new-langgraph-project-python custom-auth
cd custom-auth

该模板为我们提供了一个占位符LangGraph应用程序。让我们通过安装本地依赖项并运行开发服务器来尝试一下。

pip install -e .
langgraph dev

如果一切正常，服务器应该启动并在您的浏览器中打开工作室。

• 🚀 API: http://127.0.0.1:2024
• 🎨 Studio UI: https://smith.langchain.com/studio/?baseUrl=http://127.0.0.1:2024
• 📚 API 文档: http://127.0.0.1:2024/docs

此内存服务器专为开发和测试设计。 对于生产使用，请使用LangGraph Cloud。

图应该可以运行，如果您将此程序托管在公共互联网上，任何人都可以访问它！

现在我们已经看到了基础的LangGraph应用程序，让我们为它添加认证！

占位符令牌

在第一部分中，我们将从一个硬编码的令牌开始，以示例说明。 在掌握基础知识后，我们将在第三部分中达到“生产就绪”的认证方案。

添加身份验证

Auth 对象允许您注册一个身份验证函数，该函数将在 LangGraph 平台处理每个请求时运行。此函数接收每个请求并决定是否接受或拒绝。

创建一个新的文件 src/security/auth.py。这是我们的代码将用于检查用户是否被允许访问我们的机器人的地方：

src/security/auth.py

from langgraph_sdk import Auth

# 这是我们玩具用户数据库。不要在生产环境中这样做
VALID_TOKENS = {
    "user1-token": {"id": "user1", "name": "Alice"},
    "user2-token": {"id": "user2", "name": "Bob"},
}

# "Auth" 对象是一个容器，LangGraph 将使用它来标记我们的身份验证函数
auth = Auth()


# `authenticate` 装饰器告诉 LangGraph 调用此函数作为中间件处理每个请求。这将确定请求是否被允许
@auth.authenticate
async def get_current_user(authorization: str | None) -> Auth.types.MinimalUserDict:
    """检查用户的令牌是否有效。"""
    assert authorization
    scheme, token = authorization.split()
    assert scheme.lower() == "bearer"
    # 检查令牌是否有效
    if token not in VALID_TOKENS:
        raise Auth.exceptions.HTTPException(status_code=401, detail="Invalid token")

    # 如果有效，返回用户信息
    user_data = VALID_TOKENS[token]
    return {
        "identity": user_data["id"],
    }

请注意，我们的 身份验证 处理程序做了两件重要的事情：

1. 检查请求的 Authorization 头 中是否提供了有效的令牌。
2. 返回用户的 身份。

现在告诉 LangGraph 使用我们的身份验证，通过将以下内容添加到 langgraph.json 配置中：

langgraph.json

{
  "dependencies": ["."],
  "graphs": {
    "agent": "./src/agent/graph.py:graph"
  },
  "env": ".env",
  "auth": {
    "path": "src/security/auth.py:auth"
  }
}

测试我们的“安全”机器人

让我们再次启动服务器以测试一切！

langgraph dev --no-browser

工作室中的自定义认证

如果你没有添加 --no-browser 参数，工作室的UI将在浏览器中打开。你可能会好奇，工作室是如何仍然能够连接到我们的服务器的？默认情况下，我们还允许从LangGraph工作室访问，即使使用了自定义认证。这使得在工作室中开发和测试机器人变得更加容易。你可以通过在认证配置中设置 disable_studio_auth: "true" 来移除这个替代认证选项：

{
    "auth": {
        "path": "src/security/auth.py:auth",
        "disable_studio_auth": "true"
    }
}

现在让我们尝试与我们的机器人进行对话。如果我们正确实现了认证，我们只有在请求头中提供有效的token时才能访问机器人。然而，用户仍然能够访问彼此的资源，直到我们在下一节教程中添加资源授权处理器。

在文件或笔记本中运行以下代码：

from langgraph_sdk import get_client

# 尝试不使用token（应该失败）
client = get_client(url="http://localhost:2024")
try:
    thread = await client.threads.create()
    print("❌ 应该没有token时失败！")
except Exception as e:
    print("✅ 正确阻止了访问:", e)

# 尝试使用有效的token
client = get_client(
    url="http://localhost:2024", headers={"Authorization": "Bearer user1-token"}
)

# 创建一个对话并进行对话
thread = await client.threads.create()
print(f"✅ 创建了对话，作为Alice: {thread['thread_id']}")

response = await client.runs.create(
    thread_id=thread["thread_id"],
    assistant_id="agent",
    input={"messages": [{"role": "user", "content": "Hello!"}]},
)
print("✅ 机器人回复:")
print(response)

你应该看到：

1. 没有有效的token时，我们无法访问机器人
2. 使用有效的token时，我们可以创建对话并进行对话

恭喜！你已经建立了一个只允许“认证”用户访问的聊天机器人。虽然这个系统还没有（目前）实现一个生产级的安全方案，但我们已经了解了如何控制对机器人的访问的基本机制。在下一节教程中，我们将学习如何为每个用户提供他们自己的私人对话。

下一步是什么？

现在你已经能够控制谁可以访问你的机器人，你可能还想：

1. 继续教程，前往使对话私有（第⅔部分）以了解资源授权。
2. 阅读更多关于认证概念。
3. 查看API参考以获取更多认证细节。

Comments