Ë ËÖi6ãó\—UdZddlZddlZddlmZddlZddlmZmZm Z m Z ddlmZm Z mZddlmZmZmZddlmZej*e«Ze«ZiZeed<d Zd efd„Zded eed eefd„Z ee«fde d efd„Z!ed¬«Z"e e"«fded efd„Z#ee!«fded efd„Z$y)u¶ AutenticaciÃ³n JWT via Keycloak. Valida tokens Bearer emitidos por Keycloak usando JWKS (RS256). Las claves pÃºblicas se cachean 1 hora para no consultar Keycloak en cada request. éN)ÚOptional)ÚDependsÚ HTTPExceptionÚSecurityÚstatus)Ú HTTPBearerÚHTTPAuthorizationCredentialsÚAPIKeyHeader)ÚjwtÚJWTErrorÚExpiredSignatureError)ÚsettingsÚ_jwks_cacheiÚreturncƒóK—tj«}tjd«r)tjdd«tz|kDr tdStj ›d}tjd|›«tj«4ƒd{–—†}|j|d¬«ƒd{–—†}|j«|j«}ddd«ƒd{–—†dtd<|td<tjd t|d«›d «tdS7Œ’7Œy7ŒK#1ƒd{–—†7swYŒ[xYww)u>Obtiene las claves pÃºblicas de Keycloak con cachÃ© de 1 hora.ÚkeysÚ cached_atrz/protocol/openid-connect/certsu'ðŸ”‘ Actualizando JWKS desde Keycloak: Né )Útimeoutuâœ… JWKS cacheadas: z clave(s)) ÚtimerÚgetÚ_JWKS_CACHE_TTLrÚKEYCLOAK_ISSUER_URIÚloggerÚinfoÚhttpxÚAsyncClientÚraise_for_statusÚjsonÚlen)ÚnowÚjwks_urlÚclientÚresponseÚdatas ú(/opt/lhia/marcimex/agent/app/api/auth.pyÚ _get_jwksr'sèø€ä )‰)‹+€CÜ‡vÔ¤K§O¡O°KÀÓ$CÄoÑ$UÐX[Ò$[Ü˜6Ñ"Ð"ä×.Ñ.Ð/Ð/MÐN€HÜ ‡KKÐ9¸(¸ÐDÔEä× Ñ Ó"÷ð fØŸ™ H°b˜Ó9×9ˆØ×!Ñ!Ô#Ø}‰}‹ˆ÷÷ð ˜v™,„KÑØ"„KÑÜ ‡KKÐ&¤s¨4°©<Ó'8Ð&9¸ÐCÔDÜvÑÐðøØ9øðø÷÷ñüs[‚BEÂD+ÂEÂD1Â3D-Â4$D1ÃEÃ#D/Ã$AEÄ-D1Ä/EÄ1EÄ7D:Ä8EÄ?ErÚkidcóD‡—‰rtˆfd„|D«d«S|r|dSdS)z:Busca la clave por kid. Si no hay kid, retorna la primera.c3óL•K—|]}|jd«‰k(sŒ|–—Œyw)r(N©r)Ú.0Úkr(s €r&ú z_find_key..2s øèø€Ò<˜1¨¯©¨e«¸Ó(;”QÑ<ùsƒ$$Nr)Únext)rr(s `r&Ú _find_keyr0/s*ø€á ÜÓ< Ô<¸dÓCÐCÙˆ4‰7Ð$ Ð$óÚcredentialscƒó¼K—|j}ttjdddi¬«} t j |«}|j d«}t«ƒd{–—†}t||«}|s2tj«t«ƒd{–—†}t||«}|stjd|›d«|‚t j||d gtjd di¬«}tj!d |j d«›d|j d«›«|S7ŒÇ7Œ•#t"$r4tjd«ttjdddi¬«‚t$$r}tjd|›«|‚d}~wt&j($r8}tj+d|›«ttj,d¬«‚d}~wwxYww)u‚ Dependencia FastAPI: valida el Bearer JWT emitido por Keycloak. Retorna el payload (claims) del token si es vÃ¡lido. Uso en rutas: @router.get("/ruta") async def mi_ruta(payload: dict = Depends(verify_token)): ... Uso en include_router (protege todo el router): app.include_router(router, dependencies=[Depends(verify_token)]) uToken invÃ¡lido o no autorizadozWWW-AuthenticateÚBearer)Ústatus_codeÚdetailÚheadersr(Nuâš ï¸ Clave kid='z#' no encontrada en JWKS de KeycloakÚRS256Ú verify_audF)Ú algorithmsÚissuerÚoptionsuâœ… Token vÃ¡lido | user=Úpreferred_usernamez | client=Úazpuâš ï¸ Token JWT expiradozToken expiradouâš ï¸ Error validando JWT: u(âŒ Error de conectividad con Keycloak: z=No se pudo verificar el token (error conectando con Keycloak)©r5r6)r2rrÚHTTP_401_UNAUTHORIZEDrÚget_unverified_headerrr'r0rÚclearrÚwarningÚdecoderrÚdebugr rrÚ HTTPErrorÚerrorÚHTTP_503_SERVICE_UNAVAILABLE) r2ÚtokenÚunauthorizedÚheaderr(rÚkeyÚpayloadÚes r&Úverify_tokenrO6s¼èø€ð ×#Ñ#€EÜ Ü×0Ñ0Ø0Ø# XÐ.ô€Lð+ Ü×*Ñ*¨5Ó1ˆØj‰j˜Óˆä“[× ˆÜ˜˜cÓ"ˆáä×ÑÔÜ"›×$ˆDÜ˜D #Ó&ˆCáÜN‰NÐ/°¨uÐ4WÐXÔYØÐä—*‘*ØØØyÜ×/Ñ/Ø! 5Ð)ô ˆô ‰Ð0°·±Ð=QÓ1RÐ0SÐS]Ð^e×^iÑ^iÐjoÓ^pÐ]qÐrÔsØˆð-!øð%ùô$!ò Ü‰Ð2Ô3ÜÜ×4Ñ4Ø#Ø'¨Ð2ô ð ô òÜ‰Ð5°a°SÐ9Ô:ØÐûÜ?‰?ò Ü‰Ð?À¸sÐCÔDÜÜ×;Ñ;ØRô ð ûð üsZ‚+G®3D-Á!D)Á"3D-ÂD+ÂBD-Ä(GÄ)D-Ä+D-Ä-AGÅ1FÆGÆ!3GÇGÇGz X-API-Key)ÚnameÚapi_keycƒó´K—tjr|tjk7r0tjd«t t jd¬«‚|Sw)zŽ Dependencia FastAPI: valida la API Key enviada en el header X-API-Key. Configurada mediante la variable de entorno SYNC_API_KEY. u.âš ï¸ Intento de acceso con API Key invÃ¡lidau"API Key invÃ¡lida o no configuradar?)rÚSYNC_API_KEYrrCrrÚHTTP_403_FORBIDDEN)rQs r&Úverify_api_keyrU}sKèø€ô × Ò G¬x×/DÑ/DÒ$DÜ‰ÐGÔHÜÜ×1Ñ1Ø7ô ð ð€Nùs‚AArMcóL—|jd«xs|jdd«S)zÌ Dependencia de conveniencia: retorna el preferred_username del token. Uso: @router.get("/ruta") async def mi_ruta(username: str = Depends(get_current_user)): ... r=ÚsubÚunknownr+)rMs r&Úget_current_userrY‹s$€ð;‰;Ð+Ó,ÒM°·±¸EÀ9Ó0MÐMr1)%Ú__doc__rÚloggingÚtypingrrÚfastapirrrrÚfastapi.securityrr r Újoserrr Úconfig.settingsrÚ getLoggerÚ__name__rÚsecurityrÚdictÚ__annotations__rÚlistr'Ústrr0rOÚ_api_key_headerrUrY©r1r&úrjsñðòóÛÝãß<Ó<ßSÑSß5Ñ5å$à ˆ× Ñ ˜8Ó $€á‹<€ð€ˆTÓØ€ð˜óð(%Dð%˜x¨™}ð%°¸$±ó%ñ18¸Ó0AñA Ø-ðA à óA ñH KÔ0€ñ)1°Ó(Añ #ðÀcóñ&-¨\Ó%:ñ N˜dð N¸sô Nr1