GiiSrSSKJr SSKrSSKrSSKJr SSKrSSKr SSK r SSK J r SSjr SSjr SSjrSS jrSS jrSS jrSS jrSS jrSSjrSSjrg)u8 auth.py ------- Auth0 login guard para apps Streamlit. Flujo: - Si no hay usuario en session_state: - Si viene callback (code + state), intercambia por tokens - Si no, construye URL de login y pide iniciar sesión - Valida roles desde: - access token (si viene en claim) o - /userinfo + claim de roles ) annotationsN) urlencode) PyJWKClientcxS[R;a [S5e[[RS5$)Nauth0zCFalta [auth0] en secrets de Streamlit Cloud (o secrets.toml local).)stsecretsKeyErrordictRC:\Users\julio\OneDrive\Documentos\Trabajo\Ideas Frescas\Proyectos\Cabanna\auth.py_cfgrs.bjj \]]  7# $$r c:[5SRS5$)N redirect_uri/)rrstripr r r _base_urlrs 6. ! ( ( --r c[5nUSnUSn[5n[R"S5nU[R S'SUUSUS.nUR S5nU(aXeS'S US [U53$) Ndomain client_id oauth_statecodezopenid profile email) response_typerrscopestateaudiencehttps://z /authorize?)rrr token_urlsafer session_stategetr)cfgrrrrparamsrs rbuild_login_urlr%%s &C ]FK I;L  ! !" %E&+B]# $' Fwwz"H%z fX[6):(; <":; A  668Or c ,[5nUSnURS5nSUS3nSUS3n[U5nURU5n[R "UUR S/U(aUOSUS[U50S 9nU$![a 0s$f=f) ut Verifica firma RS256 del access_token (si es JWT). Si access_token no es JWT o falla verificación, regresamos {}. rrrrz/.well-known/jwks.jsonRS256N verify_aud) algorithmsrissueroptions) rr"rget_signing_key_from_jwtjwtdecodekeybool Exception) r7r#rrr=jwks_url jwk_client signing_keydecodeds r _verify_jwtrI_s &C ]Fwwz"Hxq !FfX%;< *  99,G **  OOy!)Xt!4>2    sAB BBcSnURS5URUS35URS5URUS35/nUH6n[U[5(dMUVs/sHn[U5PM sns $ /$s snf)u Ajusta aquí según cómo guardas roles: - Si usas Auth0 RBAC + Add Permissions in Access Token, quizá viene en access_token. - Si usas custom claim, típicamente: "https://ideasfrescas.com.mx/roles": [...] z!dev-ajifaa3ovgdvp4ty.us.auth0.comrolesz/roles)r" isinstanceliststr)claimsuserinfo namespace candidatescxs r_extract_rolesrUys4I 7 i['( W {&)* J  a  $%&AqCFA& & I's+B c[RnURS5nURS5nU(aU(dg[RRS5nU(aX#:wa[R"S5 g[ U5nURS5nURS5nU(a [ U5O0nU(a [U5O0n[Xx5n URS5=(d URS5URS 5=(d URS 5U UUS .n U [RS '[RR5 U $) zU Si la URL trae ?code=...&state=..., procesa callback y setea session_state['user']. rrNru2State inválido. Intenta iniciar sesión otra vez.r7id_tokenemailname)rXrYrKr7rWuser) r query_paramsr"r!errorr3rIr8rUclear) qprrexpected_statetokensr7rWrOrPrKrZs rhandle_callbackras B 66&>D FF7OE u%%))-8N%1 EF &t ,F::n-Lzz*%H+7[ &BF1=|,"H 6 ,Eg&=&**W*= V$: 6(:$  D $BVOO Kr c@[RRS5$)NrZ)rr!r"r r rget_current_userrcs     ''r cj[5nUSnUSn[5nUUS.nSUS[U53$)Nrr)rreturnTorz /v2/logout?)rrr)r#rr return_tor$s r logout_urlrgsM &C ]FK I IFfX[6):(; <rnsW # " % .=6( 4&,\( =r