django-allauth支持微软中国区Azure AD登录配置指南

django-allauth作为Django生态中知名的第三方认证解决方案，近期在其最新版本中增强了对微软Azure AD中国区特殊配置的支持能力。本文将详细介绍如何配置django-allauth以适配微软中国区(21世纪互联运营)的特殊API端点。

背景知识

微软Azure在全球不同地区部署了独立的云服务实例，中国区由世纪互联运营，其API端点与全球版存在差异：

• 全球版Graph API端点: https://graph.microsoft.com
• 中国区Graph API端点: https://microsoftgraph.chinacloudapi.cn
• 全球版登录URL: login.partner.microsoftonline.com
• 中国区登录URL: login.partner.microsoftonline.cn

配置方法

django-allauth通过commit 92c1918f版本实现了对这些特殊端点的配置支持。开发者现在可以通过以下方式自定义配置：

1. 在settings.py中添加MICROSOFT配置项：

SOCIALACCOUNT_PROVIDERS = {
    'microsoft': {
        'tenant': 'organizations',
        'login_hint': None,
        'auth_params': None,
        'endpoints': {
            'authorization_url': 'https://login.partner.microsoftonline.cn/common/oauth2/v2.0/authorize',
            'token_url': 'https://login.partner.microsoftonline.cn/common/oauth2/v2.0/token',
            'userinfo_url': 'https://microsoftgraph.chinacloudapi.cn/v1.0/me',
        }
    }
}

2. 关键参数说明：
   • authorization_url: 指定中国区认证端点
   • token_url: 指定中国区令牌获取端点
   • userinfo_url: 指定中国区用户信息查询端点

实现原理

django-allauth的OAuth2适配器通过抽象端点配置，使得开发者可以灵活覆盖默认值。当检测到自定义端点配置时，系统会优先使用这些值而非全局默认值。

注意事项

1. 确保使用的django-allauth版本包含92c1918f及之后的提交
2. 中国区Azure AD应用需要在世纪互联门户单独注册
3. 回调URL需要与在中国区注册的应用配置保持一致
4. 权限范围(scopes)配置与全球版一致，无需特殊修改

最佳实践

对于需要同时支持全球版和中国区的应用，建议通过环境变量动态切换配置：

if os.getenv('AZURE_REGION') == 'china':
    SOCIALACCOUNT_PROVIDERS['microsoft']['endpoints'] = {
        # 中国区配置
    }
else:
    SOCIALACCOUNT_PROVIDERS['microsoft']['endpoints'] = {
        # 全球版配置
    }

通过以上配置，开发者可以轻松实现django-allauth与中国区微软Azure AD的集成，满足企业级应用的多区域部署需求。