Python Pyramid安全性

Pyramid的声明性安全系统确定当前用户的身份并验证用户是否可以访问某些资源。安全策略可以阻止用户调用视图。在调用任何视图之前，授权系统使用请求中的凭据确定是否允许访问。

安全策略被定义为一个类，它通过以下 pyramid.security 模块中定义的方法来控制用户访问：

• forget(request) - 这个方法返回适合于“忘记”当前已认证用户拥有的凭证的头元组。通常在视图函数的主体内使用。

• remember(request, userid) - 这个方法在请求的响应上返回一系列适合于“记住”使用当前安全策略的一组凭证，如userid。通常在视图函数的主体内使用。

经过身份验证的用户的访问受到该模块中 Allowed 和 Denied 类的对象的控制。

为了实现身份、记住和忘记机制的功能，Pyramid提供了 pyramid.authentication 模块中定义的以下 helper 类：

• SessionAuthenticationHelper - 将userid存储在会话中。

• AuthTktCookieHelper - 使用“auth ticket” cookie存储userid。

我们还可以使用 extract_http_basic_credentials() 函数使用HTTP基本身份验证来提取用户凭证。

要从WSGI环境中的REMOTE_USER检索userid，可以使用 request.environ.get(‘REMOTE_USER’) 。

示例

现在让我们通过以下示例来学习如何使用安全策略。此示例的”development.ini”文件如下：

[app:main]
use = egg:tutorial
pyramid.reload_templates = true
pyramid.includes = pyramid_debugtoolbar
hello.secret = a12b

[server:main]
use = egg:waitress#main
listen = localhost:6543

然后，我们通过以下Python代码编写安全策略类，并将其保存为 security.py −

from pyramid.authentication import AuthTktCookieHelper
USERS = {'admin': 'admin', 'manager': 'manager'}
class SecurityPolicy:
   def __init__(self, secret):
      self.authtkt = AuthTktCookieHelper(secret=secret)
   def identity(self, request):
      identity = self.authtkt.identify(request)
      if identity is not None and identity['userid'] in USERS:
      return identity
   def authenticated_userid(self, request):
      identity = self.identity(request)
      if identity is not None:
         return identity['userid']
   def remember(self, request, userid, **kw):
      return self.authtkt.remember(request, userid, **kw)
   def forget(self, request, **kw):
      return self.authtkt.forget(request, **kw)

我们包文件夹中的 __init__.py 文件定义了以下配置。上面定义的安全策略类通过Configurator类的 set_security_policy() 方法添加到配置中。配置中添加了三个路由 – home、login和logout。

from pyramid.config import Configurator
from .security import SecurityPolicy

def main(global_config, **settings):
   config = Configurator(settings=settings)
   config.include('pyramid_chameleon')
   config.set_security_policy(
      SecurityPolicy(
         secret=settings['hello.secret'],
      ),
   )
   config.add_route('home', '/')
   config.add_route('login', '/login')
   config.add_route('logout', '/logout')
   config.scan('.views')
   return config.make_wsgi_app()

views.py中定义了与上述路径对应的三个视图。

from pyramid.httpexceptions import HTTPFound
from pyramid.security import remember, forget

from pyramid.view import view_config, view_defaults
from .security import USERS

@view_defaults(renderer='home.pt')
class HelloViews:
   def __init__(self, request):
      self.request = request
      self.logged_in = request.authenticated_userid
   @view_config(route_name='home')
   def home(self):
      return {'name': 'Welcome'}
   @view_config(route_name='login', renderer='login.pt')
   def login(self):
      request = self.request
      login_url = request.route_url('login')
      referrer = request.url
      if referrer == login_url:
         referrer = '/'
      came_from = request.params.get('came_from', referrer)
      message = ''
      login = ''
      password = ''
      if 'form.submitted' in request.params:
         login = request.params['login']
         password = request.params['password']
         pw = USERS.get(login)
         if pw == password:
            headers = remember(request, login)
            return HTTPFound(location=came_from, headers=headers)
         message = 'Failed login'
         return dict(
            name='Login', message=message,
            url=request.application_url + '/login',
            came_from=came_from,
            login=login, password=password,)

   @view_config(route_name='logout')
   def logout(self):
      request = self.request
      headers = forget(request)
      url = request.route_url('home')
      return HTTPFound(location=url, headers=headers)

登录视图呈现登录表单。当用户输入的用户ID和密码与USER列表进行验证时，详细信息将被“记住”。而注销视图通过“忘记”这些详细信息来释放。

主页视图呈现以下变色龙模板 – home.pt

<!DOCTYPE html>
<html lang="en">
<body>
   <div>
      <a tal:condition="view.logged_in is None" href="{request.application_url}/login">Log In</a>
      <a tal:condition="view.logged_in is not None" href="{request.application_url}/logout">Logout</a>
   </div>
   <h1>Hello. ${name}</h1>
</body>
</html>

下面是变色龙模板 login.pt 用于登录视图。

<!DOCTYPE html>
<html lang="en">
<body>
   <h1>Login</h1>
   <span tal:replace="message"/>

   <form action="{url}" method="post">
      <input type="hidden" name="came_from" value="{came_from}"/>
      <label for="login">Username</label>
      <input type="text" id="login" name="login" value="{login}"/><br/>
      <label for="password">Password</label>
      <input type="password" id="password" name="password" value="{password}"/><br/>
      <input type="submit" name="form.submitted" value="Log In"/>
   </form>
</body>
</html>

development.ini和setup.py放置在外部项目文件夹中，而init.py、views.py、security.py以及模板home.pt和login.pt应保存在名为hello的包文件夹中。

使用以下命令安装该包 −

Env\hello>pip3 install -e.

使用 pserve 实用程序启动服务器。

pserve development.ini

输出

打开浏览器并访问 http://localhost:6543/ 链接。

点击“登录”链接打开登录表单 –

用户视图页面会返回，链接被更改为注销，因为凭据被记住了。

点击“退出”链接将会导致忘记用户凭据，并显示默认主页。