本指南向您展示如何向 LangSmith 应用程序添加自定义身份验证。本页上的步骤适用于云和自托管部署。它不适用于在您自己的自定义服务器中单独使用 LangGraph 开源库。
向部署添加自定义身份验证
要利用自定义身份验证并访问部署中的用户级元数据,请设置自定义身份验证以通过自定义身份验证处理程序自动填充 config["configurable"]["langgraph_auth_user"] 对象。然后,您可以使用 langgraph_auth_user 键在图中访问此对象,以允许智能体代表用户执行经过身份验证的操作。
-
实现身份验证:
如果没有自定义 @auth.authenticate 处理程序,LangGraph 只能看到 API 密钥所有者(通常是开发人员),因此请求不限定于单个最终用户。要传播自定义令牌,您必须实现自己的处理程序。
from langgraph_sdk import Auth
import requests
auth = Auth()
def is_valid_key(api_key: str) -> bool:
is_valid = # 您的 API 密钥验证逻辑
return is_valid
@auth.authenticate # (1)!
async def authenticate(headers: dict) -> Auth.types.MinimalUserDict:
api_key = headers.get(b"x-api-key")
if not api_key or not is_valid_key(api_key):
raise Auth.exceptions.HTTPException(status_code=401, detail="Invalid API key")
# 从您的密钥存储中获取用户特定的令牌
user_tokens = await fetch_user_tokens(api_key)
return { # (2)!
"identity": api_key, # 从 LangSmith 获取用户 ID
"github_token" : user_tokens.github_token
"jira_token" : user_tokens.jira_token
# ... 此处添加自定义字段/密钥
}
- 此处理程序接收请求(标头等),验证用户,并返回至少包含身份字段的字典。
- 您可以添加任何您想要的自定义字段(例如,OAuth 令牌、角色、组织 ID 等)。
-
在您的
langgraph.json 中,添加您的身份验证文件的路径:
{
"dependencies": ["."],
"graphs": {
"agent": "./agent.py:graph"
},
"env": ".env",
"auth": {
"path": "./auth.py:my_auth"
}
}
-
在服务器中设置身份验证后,请求必须根据您选择的方案包含所需的授权信息。假设您使用 JWT 令牌身份验证,您可以使用以下任何方法访问您的部署:
Python Client
Python RemoteGraph
JavaScript Client
JavaScript RemoteGraph
CURL
from langgraph_sdk import get_client
my_token = "your-token" # In practice, you would generate a signed token with your auth provider
client = get_client(
url="http://localhost:2024",
headers={"Authorization": f"Bearer {my_token}"}
)
threads = await client.threads.search()
启用智能体身份验证
在身份验证之后,平台会创建一个传递给 LangSmith 部署的特殊配置对象(config)。此对象包含有关当前用户的信息,包括您从 @auth.authenticate 处理程序返回的任何自定义字段。
要允许智能体代表用户执行经过身份验证的操作,请使用 langgraph_auth_user 键在图中访问此对象:
def my_node(state, config):
user_config = config["configurable"].get("langgraph_auth_user")
# 令牌在 @auth.authenticate 函数期间解析
token = user_config.get("github_token","")
...
从安全的密钥存储中获取用户凭据。不建议将密钥存储在图状态中。
为 Studio 授权用户
默认情况下,如果您在资源上添加自定义授权,这也将应用于从 Studio 进行的交互。如果您愿意,可以通过检查 is_studio_user() 以不同方式处理已登录的 Studio 用户。
is_studio_user 在 langgraph-sdk 的 0.1.73 版本中添加。如果您使用的是较旧的版本,仍然可以检查 isinstance(ctx.user, StudioUser)。
from langgraph_sdk.auth import is_studio_user, Auth
auth = Auth()
# ... 设置身份验证等
@auth.on
async def add_owner(
ctx: Auth.types.AuthContext,
value: dict # 发送到此访问方法的有效负载
) -> dict: # 返回限制对资源访问的过滤器字典
if is_studio_user(ctx.user):
return {}
filters = {"owner": ctx.user.identity}
metadata = value.setdefault("metadata", {})
metadata.update(filters)
return filters
了解更多
