U HdlS@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZd dl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) Supervisorcs^eZdZdZdZeddZeddZddZe d d Z dBd d Z dCddZ ddZ dDddZdEddZeddZeddZeddZe ddZe d d!Ze d"d#Ze d$d%Ze d&d'Zd(d)Zd*d+Ze d,d-Ze d.d/ZdFd1d2Ze d3d4Ze dGd5d6Zfd7d8Z d9d:Z!e d;d<Z"e e#d=d>d?Z$e d@dAZ%Z&S)HCmfAuth cCst|jddS)N$base64 b64decode pass_hashsplitselfr$/opt/crm/modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nrrrrrr salt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256順)r'lenbytesfromhexhashlibrencoder%r&r(r)r*r r block_sizenewMODE_CBCencryptr r+)clsloginpasswordr,startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretivcipherZencrypted_secretrrr test_gen_server_challenge_resp/s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsH|jddt|jd}|dkr*|j|d<tjd|dtj|S)u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrBr:z/auth/?) reset_pass_set_datadictreset_password_hashr:configAUTH_SERVER_URLurllibparser)rendpointparamsrrr reset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N Q)r% token_urlsaferHr)r*reset_password_expiressave)rrCrrr rFWs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rSr*rrrr reset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NRS256JWT)algtyprQ)r:expscope.) r:valuer)r*r[r b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwtis zCmfAuth.create_jwtcCs^|dkr||}ttj}t}||||}t | }|d|}|SNr\) rer r6APPrsa_private_keyrupdater4signrr^ra)rrbjwtsignerdigestrjresrrr rsa_sign_pack_jwtus   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}ttt|dkrtdt|ddS||dS)Nr\rZu9Время жизни токена закончилосьrdrc)rrr6rir4rrr rgrsa_public_keyverifyrar_loadsr)r*gdebug)rjwtrdrc signaturermrkverifierverifiedrrr rsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)Nr\rp)rrrrar_rs)rvrdrcrwrrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||Srf) rrr6rir4rrr import_keyr rr) rvZrsa_public_key_bytesrdrcrwrmrkrqrxrrr rsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cs|td|stddSz||}Wn2tk r\}ztjdd}W5d}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}W5QRX| |_ |j pd d D]T}|r||d r"d|_ |dkrtjjrtd|d|_ d|_ qtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrcr:r[z/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rtrurz Exceptionrglogger exceptionr:emailr[jwt_is_supportjwt_is_match_orgospathexists PROJECT_DIRopenreadstripr startswithglobal_settingsZ support_mode)r9rvrkeobjorg_namefpermrrr from_jwts@      "zCmfAuth.from_jwtc Cs |j|dgd}|s$|j|dgd}|s8|j|dgd}|sttjj"tjjdddd|idd d W5QRXdS|jj d rr|j d \}}tj j |d gdD]}zP|||rtjj$tjjddd|dddd d W5QRX|WSWqtk r4}ztd|d|W5d}~XYqXqtjj$tjjddd|dddd d W5QRXdS|jj dr|||jj rtjj$tjjddd|dddd d W5QRX|Stjj"tjjdddd|idd d W5QRXdSdS)Nz***) ext_loginfieldsr:r)rrrrr:failToperatecmf_model_nameparent audit_data result_status celery_skipZ allow_ldap@plugin.*)domainrZldap)r:typeoku/Ошибка авторизации через z: allow_base)getcmfutilcmfutil disable_aclmodelsCmfAudit audit_event auth_optionsr]r:rCmfAuthLdapPluginlistZsigninrrtru check_secretr)r9r:Zchallenge_resprrr auth_pluginrrrr get_by_challenge_respsn   *   zCmfAuth.get_by_challenge_respcCs"|}||_||_||||Sr$)r:r set_pass_hash)r9r:hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr.zNot Implemented for )rrrrr4r)NotImplementedError) r9r>Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr rs   zCmfAuth.check_secretc Cs|j|dgd}|r\|||jjr\tjj"tj j ddd|iddddW5QRX|Stjj"tj j ddd|idd ddW5QRXdS) Nrrrrr:rTrrrrrrr) rrrr]rrrrrrr)r9r:r;rrrr from_login_passwords&  zCmfAuth.from_login_passwordcCs$t|}t|}|||dSr$)r1r2set_pass_hash_bytes)rrr# hash_bytes salt_bytesrrr r/s  zCmfAuth.set_pass_hashcCs2t|}t|}d|d||_dS)Nzpbkdf2_sha256$100000$r)rr^rar)rrrrrrrr r4szCmfAuth.set_pass_hash_bytescCstjSr$)rtr)r9rrr current_auth?szCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nrzutf-8) rangeappendrandomchoicestring ascii_lettersdigitsjoinr4)r9charsirrr gen_saltCs zCmfAuth.gen_saltc stjtj|s,dfddt|D}t|}td| |d}| ||t j j $tjjddd|jid d d d W5QRX|S) uO Генерирует новый пароль :return: rc3s|]}tVqdSr$)rr.0rlettersrr Qsz)CmfAuth.reset_password..r.r/reset_passwordrr:NrTr)rrrrrrrr3rr4rrrrrrrrr:)rlengthr;r#rrrr rJs&    zCmfAuth.reset_passwordc CsXdtj}d|g}t|||tjj"tjj dddd|idddW5QRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrrTr) rI PROJECT_NAMErrrrrrrr)r9r;rsubject msg_contentsrrr r]s   zCmfAuth.send_passwordcCshddlm}|}tj||d}||jtjd|ddd}|jdkrVt d t |j d d S) Nr)session)r: rg_member_ofz /auth/signupT)r:Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) requestsrr CmfPersonrTpostrIrJ status_coderrGcookiesr)r9r:rrspersonrrrr create_persongs   zCmfAuth.create_personcsh|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||S)Nrrr)groups is_changedr[is_nullr]rsuperrT)rargskwargsrZgrp_name __class__rr rT}s z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rr)rrrrr sz)CmfAuth.prepare_scope..r)r[rsetrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}tjdkr"tjdkr"|S|dd}zt|}Wn tk r\d}t|YnX| ||}|sd|ddd}t |t||S) NFalsez 127.0.0.1rcissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) r{rIEVA_ACCOUNT_USErequest remote_addrrZread_crm_pub_key RuntimeErrorrr}loggingerror)r9 eva_app_tokenrkrZ crm_pub_keyrrrrrr check_tokens    zCmfAuth.check_token)usersc Os||}|dd}|D]}zt|d}|j|dddddd gd } | sztj|d } td || |dpd } t| p|| _ |d pd } t| pd| _ | j j ri| _ | jsg| _|| jkr| j|g| j |<|drLtd|||| jkr0| j|| j |=d| j _| Wq|dD]:} td|d| d|| j || d| j _qT|d| _td|td| j | ttd| jWqtk rtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rcrr:rr[rreg_org_name_listrrr)r:u(Создали пользователя rN cmf_deletedu4Пользователь {} удален из crm {}Tru,Добавляем пользователю u права u в crm rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr(lowerrrrrrrurTrrrrrrformatremoverrcommit_with_eventr[rr) r9rrrrrkrZ user_dictr:userrrZgrp_coderrr rpc_account_sync_pushs^               zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeext_ipcmf__id)rendswithhasattrsetattr)robj_dict field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_frcrpluginrr )ext_idrrrzNOT INcSsg|] }|dqS)rr)rrrrr rsz3CmfAuth.rpc_account_plugin_push..)filterrr) rIIS_BOX_VERSIONrr CmfPluginrrrTrrrrdelete) r9rZ auth_pluginsrrrrkrrrZauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_push)rB)T)rN)rN)rN)N)'__name__ __module__ __qualname__r'Z ts_lengthpropertyr!r#r- classmethodrArOrFrUrero staticmethodrzr{r}rrrrrrrrrrrrrTrrrrr __classcell__rrrr rsb         ' -           9r)#rdatetimer3r_rr%rr*rKr urllib.parser Crypto.Cipherrr Crypto.HashrrCrypto.PublicKeyrZ Crypto.Randomr Crypto.Signaturer ZCrypto.Util.Paddingr r cmf.includerrrrZ supervisorrrrrrr s*