Connectez-vous à la base de données Azure SQL dans SQL Alchemy à l'aide des jetons Entra ID

Nous avons une application Web au travail qui doit se connecter à notre base de données Azure SQL pendant la durée de la demande. Pour faciliter l'interrogation de la base de données, nous utilisons SQL Alchemy et pyodbc.

Nous avons quelques objectifs que nous voulons atteindre :

• Chaque demande obtient sa propre session. Nous voulons ouvrir une nouvelle session lorsque la demande démarre et la fermer une fois qu'elle est terminée.
• Nous souhaitons nous connecter à la base de données en utilisant l'identité managée du service Web (Azure Function App ou Azure Web App).
• Nous souhaitons déléguer autant que possible la gestion de la session et de la connexion.

Gestion de la durée de vie des sessions

Tout d'abord, pour nous assurer que nous ouvrons une nouvelle session pour chaque demande, nous pouvons envelopper les fonctions de demande dans des décorateurs qui garantissent qu'une nouvelle session est créée puis détruite.

Pour nous assurer que notre session est facilement accessible depuis toute l'application sans avoir à la remettre à chaque appel de fonction, nous utilisons un modèle singleton. Cependant, comme nous exécutons plusieurs threads pour traiter plusieurs requêtes en même temps, nous devons nous assurer qu'il n'y a pas de conditions de concurrence concernant les objets de session.

SQL Alchemy dispose d'un excellent utilitaire pour rendre cela plus facile : la session limitée.

Pour utiliser cela, nous enveloppons notre fabrique de connexions dans un appel scoped_session() :

from urllib.parse import quote_plus
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker, scoped_session

connection_string = "..."
engine = create_engine("mssql+pyodbc:///?odbc_connect={}".format(quote_plus(connection_string))
session_factory = sessionmaker(bind=engine)
Session = scoped_session(session_factory)

Maintenant, chaque fois que nous voulons utiliser la session, nous appelons simplement Session() et SQL Alchemy s'assure de réutiliser l'objet de session existant. Si nous avons terminé, nous pouvons appeler Session.remove() pour fermer la session. Il n'y a aucun moyen pour SQL Alchemy de savoir si le thread est terminé, nous devons donc le faire nous-mêmes.

Connectez-vous via des jetons Entra ID en utilisant une identité gérée

Certains articles décrivent comment configurer la connexion aux bases de données Azure SQL à l'aide de jetons d'accès, mais la meilleure ressource pour cela est la documentation SQL Alchemy elle-même.

Regardons les détails ensemble. Tout d’abord, nous avons besoin d’une chaîne de connexion. Puisque nous voulons nous appuyer sur une identité managée (ou sur Azure CLI pour le développement local), nous ne mettons aucune information d'identification dans la chaîne de connexion :

Driver={Pilote ODBC 18 pour SQL Server};Database=YOUR_DB;Server=tcp:you.database.windows.net,1433;Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30

Notre plan général est :

• Ajoutez un gestionnaire d'événements qui se déclenche chaque fois que nous nous connectons à la base de données.
• Récupérer un jeton d'accès chaque fois que nous nous connectons à la base de données.
• Ajustez les arguments de connexion pour que nous mettions le (nouveau !) jeton d'accès dans la chaîne de connexion.

Maintenant, jetons un œil au code :

from urllib.parse import quote_plus
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker, scoped_session

connection_string = "..."
engine = create_engine("mssql+pyodbc:///?odbc_connect={}".format(quote_plus(connection_string))
session_factory = sessionmaker(bind=engine)
Session = scoped_session(session_factory)

Résumé

Grâce à cela, nous avons atteint nos objectifs. Avec scoped_session(), nous n'avons pas besoin d'ouvrir une nouvelle session à chaque fois qu'une demande arrive (cela sera géré pour nous) mais nous devons fermer la session à la fin afin de ne pas avoir trop de sessions en suspens.

Nous nous connectons également à la base de données SQL en utilisant notre propre identité (pour les développeurs locaux) ou l'identité gérée du service Web. Nous modifions la chaîne de connexion à chaque fois qu'une nouvelle connexion est créée.

Remerciements

Un grand merci à David de m'avoir aidé à comprendre le concept des sessions ciblées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!