U whT@s6ddlmZddlTddlmZGdddejZdS))fields)*)cmf_auth_openid_plugincseZdZejjdZdZdZeddZ ddZ fddZ d d Z fd d Z ed ddZeddZeeeedddZddZedddZedddZedddZdd Zed!d"Zed#d$Zd,eed%d&d'Zd-d(d)Zd*d+ZZS).CmfAuthOpenIdPlugin)loggerconfigNcCsB|jsСервер авторизации вернул ошибку r$ client_idr* client_secretr) content-type!application/x-www-form-urlencodedtoken_endpointdataheadersverifyZ AuthorizationzBearer Zuserinfo_endpoint)r9r:uПолучили токен )requests load_fieldsr&client_keycloaktokenrvaluer/ client_adfsZ#acquire_token_by_authorization_codescopesplit Exception unpack_tokendictr ext_client_idcmfutil disable_acl ext_secretdecryptpostr verify_sslraise_for_statusjsongetcontentrinfo)rr%r;r>paramsr9resZuserinfo_responserrr get_token1sJ         zCmfAuthOpenIdPlugin.get_tokencCsHddl}|jr|jS|jtj|jjjd|jj jd |_|jSdS)Nrz .well-known/openid-configurationr:) r;_CmfAuthOpenIdPlugin__configrOospathjoinrext_urlr?rLrN)rr;rrrrXs zCmfAuthOpenIdPlugin.config)r>jwksreturncs(ddl}ddl}ddl}ddlm}ddlm}ddlm}ddl m }ddl m } | |} | d| d} td | tfd d |Dd} | dkr| r|D]^} d | kr|| d d}||}||d d}|| kr| } tdqq| dkr,tdd| td| d | krz|| d d}|||}|}tdndd| krd| krt|| dd}t|| dd}| |||}tdntd|j|jj |j!j"d}td||j||| ddgddidS) Nr)base64url_decode)x509)default_backend) serialization)rsakidx5tu!Заголовок токена: c3s |]}|dkr|VqdS)rbN)rO).0keyrbrr ssz4CmfAuthOpenIdPlugin._decode_token..Zx5czutf-8=u,Найден JWK по отпечатку x5tu$JWK не найден ни по kid=u, ни по x5t=uИспользуемый JWK: u5Публичный ключ извлечён из x5cnebigu4Публичный ключ создан из n и eu,JWK не содержит ни x5c, ни n/e)encodingformatuPEM-ключ: ZalgZRS256 verify_audF)re algorithmsoptions)#jwtbase64hashlibZ jwt.utilsr]Z cryptographyr^Zcryptography.hazmat.backendsr_Zcryptography.hazmat.primitivesr`Z)cryptography.hazmat.primitives.asymmetricraZget_unverified_headerrOgdebugnextZ b64decodeZsha1ZdigestZurlsafe_b64encodedecoderstrip ValueErrorZload_der_x509_certificate public_keyint from_bytesZRSAPublicNumbersZ public_bytesZEncodingZPEMZ PublicFormatZSubjectPublicKeyInfo)r>r[rqrrrsr]r^r_r`raheaderrcZjwkreZderZ thumbprintZ thumb_b64Zcert_derZcertrzrirjZpem_keyrrfr _decode_tokenbs`              z!CmfAuthOpenIdPlugin._decode_tokencCs6ddl}|jdkr(|jj||jjjS||SdS)Nrr-) msalr&Z oauth2cliZoidcZdecode_id_tokenrrFr?rD)rr>rrrrunpack_id_tokens z#CmfAuthOpenIdPlugin.unpack_id_token)r>cCs|ddl}ddl}|jdkr*|jd}nF|jdkrN|j|ddgdddd S|j|jd |jj j d  d}| ||S) Nrr(keysr-ZRSA256F)Zverify_signaturern)rorpZjwks_urirU) r;rqr&r=ZcertsrwrOrrrLr?rNr~)rr>r;rqZjwkeysrrrrDs  "z CmfAuthOpenIdPlugin.unpack_token)rqc Cs|d|jj}|s,|jd|dS|D]}d|d}|jd|ddg}tjjddd|dg|d }|stjjd d |g|d }|s|jsq0|jd |tj|||d }|j s||_ ||j kr|j ||_ ||j kr0|jd|d||j || q0tjj dd|jggdd |gg|d D]f}d}|D]$}d|d|j krNd}qtqN|sB|jd|d||j || qBdS)Nr,uMГруппы по ключу group не обнаружены в токене z::u-Обрабатываем группу ext_id= rg_membersext_idZLIKE%filterrname==u0Не нашли группу, создадим: )rr auth_pluginu(Добавим пользователя u в группу INrFTu&Уберем пользователя u из группы )rOZ groups_claimr?rZwarningrQr CmfPersonGroupZcreate_new_groupsrrappendr!listidremove) rpersonrqgroupsZgroup_idr_fieldsgroupmemberrrr_process_groupssH        z#CmfAuthOpenIdPlugin._process_groupsc Csddl}z||d}Wn*|jd|ddt}YnX||d}|jd|d|d||d |jj }|s||jj }|s||jj }|st d |jd |d d |kr|}n|d |j }d ddddg}t j j||d}|st j j||d}|s.t j j||d}|d d} |d d} |d d} |d d} |d d} |s| rt j jdd| g|d}|s|jrt j dt jg||| | | | d}|| r|| }|jdkr||jntd||_|jrN| |_| |_| |_| |_| rN|| }|jdkrN||j|jr^||j||dt j||d }|j |j! |j"|_#| |_$|j%|_&|d!|_'|d"|_(|d#}|s|d#}||_)|d$|_*t+j,rt+j,d|_-||S)%Nrr+u8Неудалось дешифровать access_token ''id_tokenu2Создаем сессию по access_token JWT=z, access_token=z , id_token=r,uYЛогин не может быть пустым, проверьте настройки, u нет в @ ext_loginr first_name last_nameemail)loginr)rr)rrZ given_nameZ family_nameZpicturerrrT)Z user_localZ rg_member_ofrrrrrru1Пользователя нет в системе)rrq)rqr refresh_tokenrefresh_expires_inrA expires_in).r;rDr exceptionrErrQrOZusername_claimr?AssertionErrordomainr Z CmfPersonrrZ user_groupr!Z status_codeZ set_avatarrPrCrZ update_userrrrrrrZ CmfSessionZ auth_dateset_now reauth_dater user_loginZ user_emailrZuser_idrlifetimerAaccess_token_expires_inrequestZ access_routeZ client_ip)rrqr;ZpayloadrrZ cmf_loginrrrrrrZ picture_urlrSsessionrArrr get_sessions                zCmfAuthOpenIdPlugin.get_sessionc Csddl}tdzz|jd|jj|dddg|j rNt |j dkrj|j |j j}nXt|j jd|jjj|jjd}d d i}|j|jd |||jjjd }||}|r(|jd |jd||j|dr|d|_|dr|d|_ |d|_nd|_Wnt k rh|jd|jd|jd|_YnV|j j!k r}z2|jd|jd|jjd|j"j#d|_W5d}~XYnXW5||W5QRSXW5QRXdS)Nru Обновляем сессию disabledr&r'r(r)rr)r2r3r4r5r6r7u Для пользователя u( получили новый токен rrTu8SSO интеграция была выключена id=u;, отключаем сессию пользователя u5Ошибка обновления сессии login=u по токену z res=)$r;rGrHr!rrQrr?r<rrr&r=rrErrFrIrJrKrrLrMrNrrrrOrrZexpiredr exceptionsZ HTTPErrorZresponsetext)rrr;rqrRr9rSerrrrrr2sH             (z!CmfAuthOpenIdPlugin.refresh_tokenc Csjddlm}|dgt@||jjj|jjj|jj j|jj |jj jdW5QRSQRXdS)Nr)KeycloakOpenIDr')Z server_urlr2Z realm_nameZclient_secret_keyr:) r(rr<rGrHrrZr?rFZext_realm_namerIrJrL)rrrrrr=Ys     z#CmfAuthOpenIdPlugin.client_keycloakc Csf|dgddlm}t<||jjj|jjj|jj |jj jdgdW5QRSQRXdS)Nr'r)ConfidentialClientApplicationZoffline_access)r2Z authorityZclient_credentialr:Zexclude_scopes) r<rrrGrHrrFr?rZrIrJrL)rrrrrr@cs    zCmfAuthOpenIdPlugin.client_adfs)next_urlr\cCsddlm}m}|ddg|s,|tj}t||jj d}z|j dkrh|j j |j j |jj |d}n|j dkr|jj|jj d |j j |d }nXt}|jjj |d <|j j |d <d |d<|jj |d<||d<||}|jdd|}Wn|jdd}YnX|S)Nr) urlencodequoterr')rrr()r*rAstater-r.)r0r*rr2r*r%Z response_typerArZauthorization_endpoint?u-Неудалось получить login_url) urllib.parserrr<rurlrNdumpsrr?r&r=Zauth_urlrrAr@Zget_authorization_request_urlrBrErrFrrr)rrrrZ state_params login_urlrRqsrrrget_redirect_urlps:         z$CmfAuthOpenIdPlugin.get_redirect_urlcCsddl}|ddgtjdrFtjdd}|dd}ntj}|sft dtjdS| |}|dgd}|j j D]}||krd }qq|st |d |j j dS|j |d }|r|jd |t|SdS) Nrrr'zX-Forwarded-For,uVНе удалось определить ext_ip по X-Forwarded-For: request.headers=zplugin.ext_networksFTuE не входит в список разрешенных сетей )ru\Редиректим пользователя на страницу авторизации: ) ipaddressr<rr9ZgetlistrBstripZ remote_addrrtru IPv4AddressrZ ext_networksrrrQredirect)rrripsZext_ipZacceptednetworkrrrrlogin_redirects.     z"CmfAuthOpenIdPlugin.login_redirectcCsddlm}|jdkr&|j|jjS|jdr|t id}d|j krZ|j d|d<|jdd||}t d t jjd |t|SdS) Nr)rr(Zend_session_endpoint)Zpost_logout_redirect_urirrZ id_token_hintrzlogin=z logout redirect=)rrr&r=logoutrr?rrOrNrrqrtruZ current_userrr)rrZ logout_urlrrRZ redirect_urlrrrrs    zCmfAuthOpenIdPlugin.logout)N)N) __name__ __module__ __qualname__rrZ ui_meta_skipr rVpropertyrrrrr!strrTr staticmethodrrEr~rrDrrrr=r@rrr __classcell__rrrrrs4    ' C (S'   rN)ZcmfrZ cmf.includerrrrrrs