web-dev-qa-db-ja.com

Django:1つのビューの基本認証(ミドルウェアを回避)

1つのビューにhttp-basic-authを提供する必要があります。

ミドルウェアの設定を変更したくない。

背景:これはリモートアプリケーションによって入力されるビューです。

pythondjangoauthenticationbasic-authenticationhttp-authentication
15
guettli

このライブラリを使用できます: https://github.com/hirokiky/Django-basicauth

Djangoの基本認証ユーティリティ。

ドキュメントはそれを使用する方法を示しています:

CBVへのデコレータの適用

@basic_auth_requriedデコレータをクラスベースのビューに適用するには、Django.utils.decorators.method_decoratorを使用します。

ソース: https://github.com/hirokiky/Django-basicauth#applying-decorator-to-cbvs

6
guettli

基本認証要求を行うときは、実際にはAuthorizationヘッダーに資格情報を追加しています。転送前に、これらの資格情報はbase64でエンコードされているため、受信時にデコードする必要があります。

次のコードスニペットは、有効なユーザー名とパスワードが1つしかないことを前提としています。

import base64

def my_view(request):
    auth_header = request.META.get('HTTP_AUTHORIZATION', '')
    token_type, _, credentials = auth_header.partition(' ')

    expected = base64.b64encode(b'username:password').decode()

    if token_type != 'Basic' or credentials != expected:
        return HttpResponse(status=401)

    # Your authenticated code here:
    ...

Userモデルのユーザー名とパスワードと比較したい場合は、代わりに次のことを試してください。

def my_view(request):
    auth_header = request.META.get('HTTP_AUTHORIZATION', '')
    token_type, _, credentials = auth_header.partition(' ')

    username, password = base64.b64decode(credentials).split(':')
    try:
        user = User.objects.get(username=username)
    except User.DoesNotExist:
        return HttpResponse(status=401)

    password_valid = user.check_password(password)

    if token_type != 'Basic' or not password_valid:
        return HttpResponse(status=401)

    # Your authenticated code here:
    ...

この後者のバージョンは非常に安全ではないことに注意してください。一見すると、たとえば タイミング攻撃 に対して脆弱であることがわかります。

9
meshy

新しいミドルウェアを追加する代わりに、カスタムデコレータを試すことができます(推奨される方法 ここ および ここ )。

my_app/decorators.py

import base64

from Django.http import HttpResponse
from Django.contrib.auth import authenticate
from Django.conf import settings


def basicauth(view):
    def wrap(request, *args, **kwargs):
        if 'HTTP_AUTHORIZATION' in request.META:
            auth = request.META['HTTP_AUTHORIZATION'].split()
            if len(auth) == 2:
                if auth[0].lower() == "basic":
                    uname, passwd = base64.b64decode(auth[1]).split(':')
                    user = authenticate(username=uname, password=passwd)
                    if user is not None and user.is_active:
                        request.user = user
                        return view(request, *args, **kwargs)

        response = HttpResponse()
        response.status_code = 401
        response['WWW-Authenticate'] = 'Basic realm="{}"'.format(
            settings.BASIC_AUTH_REALM
        )
        return response
    return wrap

次に、これを使用してビューを装飾します。

from my_app.decorators import basicauth


@basicauth
def my_view(request):
    ...
3
John Moutafis