httpヘッダーで渡されたユーザーとパスワードでユーザーを認証する方法を探していました。
curl --user user1:pass1 http://localhost:6543/the_resource
アイデアは、渡された資格情報がユーザーに *the_resource* の表示を許可するかどうかを確認し、そうでない場合は 401 - Forbidden を返すことです。
ログインとログアウトのビューが必要な認証ポリシーの例、またはPyramid の ACL とバインドする方法がわからないこの基本的な認証ポリシーしか見つかりませんでした。
開始方法など、どんな助けにも感謝します。
もう一つ、頭に浮かんだことがあります。基本認証のためにこのポップアップログインウィンドウを強制する方法は?
最終的に、認証と承認の使用方法が明らかになりました。すべてが実際に書かれていたので、すぐにコンセプトを理解できませんでした。私は自分自身にそれを説明しなければならなかった初心者の方法で説明する方法を書いてみます。誰かに役立つことを願っています。最後にソースが私の文章を理解するのに役立つかもしれません ;) すべてのコメントを歓迎します。何か間違っている場合は、修正してください。
最も重要なのは基本認証です。BasicAuthenticationPolicy には、認証済み_userid(request) など、後でピラミッド アプリケーションで使用できるメソッドが必要です。これらのメソッドは、http ヘッダーで渡されたログインとパスワードを引き出す _get_basicauth_credentials() を使用します。ログインとパスワードが正しいかどうかの実際のチェックは、mycheck() で行われます。
ここで、__init__.py で、アプリケーション コンフィギュレーターへの引数としてメソッド mycheck を使用して BasicAuthenticationPolicy を追加し、ピラミッドがそれを使用できるようにする必要があります。
認証に関しては、それだけです。これで、authenticated_userid(request) (views.py を参照) を使用して認証された場合、および誰が認証されたかを確認できるようになります。
リソースにピラミッド認証を使用するには、ACLAuthorizationPolicy を __init__.py のコンフィギュレーターに追加し、リソースに __acl__ を追加する必要があります。root_factory に対する最も単純なケース (これとこれを参照) ACL は、どのグループがどの権限を持つかを定義します。私が (Allow, 'group:viewers', 'view') で間違っていなければ、'group:viewers' は mycheck() が返す認証方法でなければなりません。
認証の最後のステップは、デコレーターを使用して (または add_route で) 特定のビューに許可を追加することです。ACL パーミッション - view - を view_page に追加すると、group:viewers はそのページを見ることができます (view_page を呼び出します)。
basic_authentication.py
import binascii
from zope.interface import implements
from paste.httpheaders import AUTHORIZATION
from paste.httpheaders import WWW_AUTHENTICATE
from pyramid.interfaces import IAuthenticationPolicy
from pyramid.security import Everyone
from pyramid.security import Authenticated
import yaml
def mycheck(credentials, request):
login = credentials['login']
password = credentials['password']
USERS = {'user1':'pass1',
'user2':'pass2'}
GROUPS = {'user1':['group:viewers'],
'user2':['group:editors']}
if login in USERS and USERS[login] == password:
return GROUPS.get(login, [])
else:
return None
def _get_basicauth_credentials(request):
authorization = AUTHORIZATION(request.environ)
try:
authmeth, auth = authorization.split(' ', 1)
except ValueError: # not enough values to unpack
return None
if authmeth.lower() == 'basic':
try:
auth = auth.strip().decode('base64')
except binascii.Error: # can't decode
return None
try:
login, password = auth.split(':', 1)
except ValueError: # not enough values to unpack
return None
return {'login':login, 'password':password}
return None
class BasicAuthenticationPolicy(object):
""" A :app:`Pyramid` :term:`authentication policy` which
obtains data from basic authentication headers.
Constructor Arguments
``check``
A callback passed the credentials and the request,
expected to return None if the userid doesn't exist or a sequence
of group identifiers (possibly empty) if the user does exist.
Required.
``realm``
Default: ``Realm``. The Basic Auth realm string.
"""
implements(IAuthenticationPolicy)
def __init__(self, check, realm='Realm'):
self.check = check
self.realm = realm
def authenticated_userid(self, request):
credentials = _get_basicauth_credentials(request)
if credentials is None:
return None
userid = credentials['login']
if self.check(credentials, request) is not None: # is not None!
return userid
def effective_principals(self, request):
effective_principals = [Everyone]
credentials = _get_basicauth_credentials(request)
if credentials is None:
return effective_principals
userid = credentials['login']
groups = self.check(credentials, request)
if groups is None: # is None!
return effective_principals
effective_principals.append(Authenticated)
effective_principals.append(userid)
effective_principals.extend(groups)
return effective_principals
def unauthenticated_userid(self, request):
creds = self._get_credentials(request)
if creds is not None:
return creds['login']
return None
def remember(self, request, principal, **kw):
return []
def forget(self, request):
head = WWW_AUTHENTICATE.tuples('Basic realm="%s"' % self.realm)
return head
myproject.__init__.py
from pyramid.config import Configurator
from myproject.resources import Root
from myproject.basic_authentication import BasicAuthenticationPolicy, mycheck
from pyramid.authorization import ACLAuthorizationPolicy
def main(global_config, **settings):
""" This function returns a Pyramid WSGI application.
"""
config = Configurator(root_factory='myproject.models.RootFactory',
settings=settings,
authentication_policy=BasicAuthenticationPolicy(mycheck),
authorization_policy=ACLAuthorizationPolicy(),
)
config.add_static_view('static', 'myproject:static', cache_max_age=3600)
config.add_route('view_page', '/view')
config.add_route('edit_page', '/edit')
config.scan()
app = config.make_wsgi_app()
return app
models.py
from pyramid.security import Allow
class RootFactory(object):
__acl__ = [ (Allow, 'group:viewers', 'view'),
(Allow, 'group:editors', 'edit') ]
def __init__(self, request):
pass
ビュー.py
from pyramid.security import authenticated_userid
from pyramid.view import view_config
#def my_view(request):
# return render_to_response('templates/simple.pt', {})
@view_config(route_name='view_page', renderer='templates/view.pt', permission='view')
def view_page(request):
return {}
@view_config(route_name='edit_page', renderer='templates/edit.pt', permission='edit')
def edit_page(request):
return {}