U TFdQS@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZddl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) Supervisorcs^eZdZdZdZeddZeddZddZe d d Z dBd d Z dCddZ ddZ dDddZdEddZeddZeddZeddZe ddZe d d!Ze d"d#Ze d$d%Ze d&d'Zd(d)Zd*d+Ze d,d-Ze d.d/ZdFd1d2Ze d3d4Ze dGd5d6Zfd7d8Z d9d:Z!e d;d<Z"e e#d=d>d?Z$e d@dAZ%Z&S)HCmfAuth cCst|jddS)N$base64 b64decode pass_hashsplitselfr(/opt/account/modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nrrrrrr salt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256順)r'lenbytesfromhexhashlibrencoder%r&r(r)r*r r block_sizenewMODE_CBCencryptr r+)clsloginpasswordr,startend server_randomserver_timestampZ server_saltZtest_key client_randomsecretivcipherZencrypted_secretrrr test_gen_server_challenge_resp/s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsH|jddt|jd}|dkr*|j|d<tjd|dtj|S)u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrEr:z/auth/?) reset_pass_set_datadictreset_password_hashr:configAUTH_SERVER_URLurllibparser)rendpointparamsrrr reset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N Q)r%Z token_urlsaferKr)r*reset_password_expiressave)rrFrrr rIWs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rUr*rrrr reset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NRS256JWT)algtyprT)r:expscope.) r:valuer)r*r]r b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwtis zCmfAuth.create_jwtcCs^|dkr||}ttj}t}||||}t | }|d|}|SNr^) rgr r6APPrsa_private_keyrupdater4signrr`rc)rrdjwtsignerdigestrlresrrr rsa_sign_pack_jwtus   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}||dS)u TODO: проверять exp здесь, а не в from_jwt, возвращать None, если просрочили r^Nrfre)rrr6rkr4rrr rirsa_public_keyverifyrcraloads)rjwtrfre signaturerormverifierZverifiedrrr rsa_verify_unpack_jwts     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)Nr^rr)rrrrcraru)rvrfrerwrrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||Srh) rrr6rkr4rrr import_keyr rt) rvZrsa_public_key_bytesrfrerwrormrsrxrrr rsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cstd|stddSz||}Wn&tk rL}zd}W5d}~XYnX|s^tddSd}zt|ddd}Wnttfk rYnXtj }||krtddS|dd }|dd |_ |dd |_ |dd |_ d|_ d|_tjtd r|j std |Sttd ^}|}d} |j dD]"} | |drBd} qfqB| std W5QRdSW5QRXtd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)rrer\z)from_jwt: reset auth, cause token expiredT)emptyr:r]z/custom/org_nameu,from_jwt: нет билета доступаF :zfrom_jwt: jwt is ok, z, )printry Exceptionr)get TypeError ValueErrordatetimenow timestampr:emailr]jwt_is_supportjwt_is_match_orgospathexists PROJECT_DIRopenreadr startswith) r9rvrmer\robjforg_nameacceptpermrrr from_jwtsT  zCmfAuth.from_jwtc Cs|j|dgd}|s$|j|dgd}|s8|j|dgd}|s\tjjdddd|idd d dSt|}d tj}}|||}|t|}}|||}t |j tj |}| |} zt | tj} Wn<tk rtd tjjdddd|idd d YdSX| } d |jd }}| ||} |||jd }}| ||} |||j}}| ||}|t| }}| ||}tt|dkrtjjdddd|idd d dStjjdddd|idd d |S)Nz***) ext_loginfieldsr:r)rrrrr:failToperatecmf_model_nameparent audit_data result_status celery_skiprz$get_by_challenge_resp: wrong paddingrrTok)rmodelsCmfAudit audit_eventr1r2rr5r0r6r!r7decryptr rrrcr' ts_lengthr*r))r9r:Zchallenge_resprr<r=rBencrypted_messagerCZres0res1Zres2r>r@r?rrr get_by_challenge_respsn             zCmfAuth.get_by_challenge_respcCs"|}||_||_||||Sr$)r:r set_pass_hash)r9r:hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr.zNot Implemented for )rrrrr4r)NotImplementedError) r9rAZ secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr check_secret*s   zCmfAuth.check_secretcCs`|j|d}|r@|||jjr@tjjddd|idddd|Stjjddd|idddddS) Nr:rrr:rTrrrrrrr)rrrr_rrr)r9r:r;rrrr from_login_password6s"   zCmfAuth.from_login_passwordcCs$t|}t|}|||dSr$)r1r2set_pass_hash_bytes)rrr# hash_bytes salt_bytesrrr rFs  zCmfAuth.set_pass_hashcCs2t|}t|}d|d||_dS)Nzpbkdf2_sha256$100000$r)rr`rcr)rrrrrrrr rKszCmfAuth.set_pass_hash_bytescCstjSr$)gr)r9rrr current_authVszCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nzutf-8) rangeappendrandomchoicestring ascii_lettersdigitsjoinr4)r9charsirrr gen_saltZs zCmfAuth.gen_saltcsztjtj|s,dfddt|D}t|}td| |d}| ||t j j ddd|jid d d d |S) uO Генерирует новый пароль :return: rc3s|]}tVqdSr$)rr.0rlettersrr hsz)CmfAuth.reset_password..r.r/reset_passwordrr:NrTr)rrrrrtyperr3rr4rrrrr:)rlengthr;r#rrrr ras$    zCmfAuth.reset_passwordcCs@dtj}d|g}t|||tjjdddd|iddddS) Nu&Пароль для доступа к u Пароль: send_passwordrrrTr)rL PROJECT_NAMErrrr)r9r;rsubject msg_contentsrrr rss   zCmfAuth.send_passwordcCshddlm}|}tj||d}||jtjd|ddd}|jdkrVt d t |j d d S) Nr)session)r: rg_member_ofz /auth/signupT)r:Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) requestsrr CmfPersonrVpostrLrM status_coderrJcookiesr)r9r:rrspersonrrrr create_person|s   zCmfAuth.create_personcsh|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||S)Nrr~r)groups is_changedr]is_nullr_stripsuperrV)rargskwargsrZgrp_name __class__rr rVs z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rr)rrrrr sz)CmfAuth.prepare_scope..r~)r]rsetrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}|dd}zt|}Wn tk rDd}t|YnX|||}|s|d|ddd}t|t||S)NreissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!)rzrZread_crm_pub_key RuntimeErrorrr|loggingerror)r9 eva_app_tokenrmrZ crm_pub_keyrrtrrr _check_tokens    zCmfAuth._check_token)usersc Os||}|dd}|D]}zt|d}|j|ddddgd} | svtj|d } td || |d pd } t| p|| _ |d pd } t| pd| _ | j j ri| _ | jsg| _|| jkr| j|g| j |<|drHtd|||| jkr,| j|| j |=d| j _| Wq|dD]:} td|d| d|| j || d| j _qP|d| _td|td| j | ttd| jWqtk rtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rerr:rr] auth_pluginreg_org_name_listrru(Создали пользователя rrrN cmf_deletedu4Пользователь {} удален из crm {}Tru,Добавляем пользователю u права u в crm auth_optionsz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr(lowerrrrrrdebugrVrrrrrrformatremoverrcommit_with_eventr]r exception) r9rrrrrmrZ user_dictr:userrrZgrp_coderrr rpc_account_sync_pushsV              zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeext_ipcmf__id)rendswithhasattrsetattr)rZobj_dict field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_frerpluginrr )ext_idrzplugin.*rzNOT INcSsg|] }|dqS)rr)rrrrr r sz3CmfAuth.rpc_account_plugin_push..)filterrr) rLIS_BOX_VERSIONrr CmfPluginrrrVCmfAuthLdapPluginrrlistdelete) r9rZ auth_pluginsrrrrmrrrZauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_push)rE)T)rN)rN)rN)N)'__name__ __module__ __qualname__r'rpropertyr!r#r- classmethodrDrRrIrWrgrq staticmethodryrzr|rrrrrrrrrrrrrVrrrrr __classcell__rrrr rsb         4 8           8r)#rrr3rarr%rr*rNr urllib.parser Crypto.Cipherrr Crypto.HashrrCrypto.PublicKeyrZ Crypto.Randomr Crypto.Signaturer ZCrypto.Util.Paddingr r cmf.includerrrrZmodules.auth.models.supervisorrrrrrr s*