摘要:要使用驗證�,需要通過一些外部技術例如,向客戶發送包含用戶和秘密密鑰的電子郵件向客戶端提供用戶和密鑰��?�?蛻舳藢⑹褂锰峁┑拿荑€來簽署所有請求����。
驗證類型
全局驗證
要實現安全認證����,只需要在Eve實例化的時候傳入驗證類即可,這樣就創建了一個全局的驗證類
from eve.auth import BasicAuth
class MybasicAuth(BasicAuth):
def check_auth(self, username, password, allowed_roles, resource, method):
return username == "admin" and password == "admin"
app = Eve(auth=MybasicAuth)
只有用戶名和密碼滿足條件才允許訪問
如果要做到對某一資源公開�����,其他資源安全,可以用下面的寫法
if resource in ("people","countries"):
return True
else:
return username == "admin" and password == "secret"
同樣����,你可以控制method����,以在某個方法上啟用或者關閉驗證
資源級驗證
有時候要對某些資源進行特別的權限控制�����,這時候全局驗證就不太好用了
可以重寫某個資源的驗證類
people = {
"authentication":MyEndpointAuth,
}
其中MyEndpointAuth和上面的MybaseAuth一樣繼承自BasicAuth并且重寫了check_auth方法,可以為每一個資源設置不同的驗證方法
全局資源安全方法
在setting中加入下面的內容�����,可以使所有資源的GET方法都是公開的
PUBLIC_METHODS = ["GET"]
PUBLIC_ITEM_METHODS = ["GET"]
PUBLIC_METHODS 引用資源端點��,例如/ people ���,而PUBLIC_ITEM_METHODS引用像/people/這樣的單個項目���。
自定義資源安全方法
可以為資源設置public_methods���,public_item_methods來設置資源的訪問控制����,資源中的這兩個屬性會覆蓋全局設定�,利用這一特點可以設置全部資源公開但某一資源私有
DOMAIN = {
"invoices": {
"public_methods": [],
"public_item_methods": [],
}
}
這樣invoices這個資源就被隱藏了
驗證方法
使用SHA1 / HMAC進行身份驗證
假設用戶名和密碼都存儲在MongoDB中,并且密碼存儲為SHA1 / HMAC哈希值�����,我們可以用下面的方法驗證用戶名和密碼
from eve.auth import BasicAuth
from werkzeug.security import check_password_hash
from flask import current_app as app
class Sha1Auth(BasicAuth):
def check_auth(self, username, password, allowed_roles, resource, method):
# use Eve"s own db driver; no additional connections/resources are used
accounts = app.data.driver.db["accounts"]
account = accounts.find_one({"username": username})
return account and
check_password_hash(account["password"], password)
為了要測試用戶名和密碼�,我們要事先往mongodb的accounts表中插入一條記錄
use eve
db.createCollection("accounts")
db.accounts.insert({username:"test1",passowrd:"pbkdf2:sha1:1000$v86Nv0hS$817921c0a065c4289416f559a2d8da3010b66727"})
密碼為admin
tips:更新密碼請用db.accounts.update({"username":"test1"},{$set:{"password":"new password"}})
之后測試登錄即可
使用TOKEN驗證
token驗證可以看作只有用戶名沒有密碼的驗證方式,使用Token作為驗證����,Token本身必須具備足夠的強度并且有合理的失效機制
class TokenAuthS(TokenAuth):
def check_auth(self, token, allowed_roles, resource, method):
accounts = app.data.driver.db["accounts"]
return accounts.find_one({"token": token})
和SHA1/HMAC驗證一樣�,我們要事先在數據庫里存放一個token���,方法類似
db.accounts.insert({toke:"86Nv0h817921c0a065c4289416f559a2d8da3010b66727"})
HMAC認證
eve.auth.HMACAuth類允許自定義的類似于Amazon S3的HMAC(哈希消息認證碼)認證����,這基本上是一個非常安全的定制認證方案��,圍繞Authorization頭部而構建����。
要使用HMAC驗證��,需要通過一些外部技術(例如�����,向客戶發送包含用戶ID和秘密密鑰的電子郵件)向客戶端提供用戶ID和密鑰。 客戶端將使用提供的密鑰來簽署所有請求。
當客戶想要發送一個請求時����,先建立完整的請求����,然后使用密鑰��,在整個消息體上計算一個散列(如果需要的話還可以包含一些消息頭)�,接下來��,客戶端將計算出的散列和他的用戶ID添加到授權標頭中的消息中�,下面是一個例子:
Authorization: johndoe:uCMfSzkjue+HSDygYB5aEg==
如果要實現類似的效果�����,可以這樣做:
1.先往mongodb中插入一條記錄,記錄userid和secret_key
2.用secret_key計算出我們需要的散列值���,添加到頭中���,eve中寫法如下
class HMACAuths(HMACAuth):
def check_auth(self, userid, hmac_hash, headers, data, allowed_roles,
resource, method):
accounts = app.data.driver.db["accounts"]
user = accounts.find_one({"userid": userid})
if user:
secret_key = user["secret_key"]
return user and hmac.new(bytes(secret_key.encode()), data, sha1).hexdigest() == hmac_hash
訪問控制
基于角色的訪問控制
在上面的內容中被故意忽略的參數allowed_roles��,作用是利用角色來控制對資源的訪問,要想要預覽這效果,需要修改之前存在mongodb中的用戶名密碼��,為其增加roles屬性
db.accounts.update({username:"test1"},{$set:{"roles":"admin"}})
setting中添加全局資源允許的操作角色��,也可以在資源中設置覆蓋全角的ALLOWED_ROLES設定
ALLOWED_ROLES = ["superadmin","admin"]
之后修改check_auth方法
def check_auth(self, username, password, allowed_roles, resource, method):
accounts = app.data.driver.db["accounts"]
lookup = {"username": username}
if allowed_roles:
# 只有角色符合才允許后續操作
lookup["roles"] = {"$in": allowed_roles}
account = accounts.find_one(lookup)
return account and check_password_hash(account["password"], password)
之后用test1這個角色登錄即可看到內容
用戶對資源控制
這是一個僅允許資源創建者對資源進行控制的功能���,需要在setting中設置AUTH_FIELD并且在資源中設置auth_field屬性��,我們假設添加到字段為user_id
1.首先setting.py中添加 AUTH_FIELD = []
2.然后people中添加"auth_field":"user_id"
3.最后將check_auth方法修改為
def check_auth(self, username, password, allowed_roles, resource, method):
accounts = app.data.driver.db["accounts"]
account = accounts.find_one({"username": username})
if account and "_id" in account:
self.set_request_auth_value(account["_id"])
return account and check_password_hash(account["password"], password)
之后我們插入新的用戶test2,用test2創建新的people資源,再用test1去查看�����,會發現無法獲取到內容test2創建的內容
文章版權歸作者所有�,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/41094.html
