U wRdQS@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZddl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) Supervisorcs^eZdZdZdZeddZeddZddZe d d Z dBd d Z dCddZ ddZ dDddZdEddZeddZeddZeddZe ddZe d d!Ze d"d#Ze d$d%Ze d&d'Zd(d)Zd*d+Ze d,d-Ze d.d/ZdFd1d2Ze d3d4Ze dGd5d6Zfd7d8Z d9d:Z!e d;d<Z"e e#d=d>d?Z$e d@dAZ%Z&S)HCmfAuth cCst|jddS)N$base64 b64decode pass_hashsplitselfr./modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nrrrrrr salt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256順)r'lenbytesfromhexhashlibrencoder%r&r(r)r*r r block_sizenewMODE_CBCZencryptr r+)clsloginpasswordr,startend server_randomserver_timestampZ server_saltZtest_key client_randomsecretivcipherZencrypted_secretrrr test_gen_server_challenge_resp/s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsH|jddt|jd}|dkr*|j|d<tjd|dtj|S)u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrDr9z/auth/?) reset_pass_set_datadictreset_password_hashr9configAUTH_SERVER_URLurllibparser)rZendpointparamsrrr reset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N Q)r%Z token_urlsaferJr)r*reset_password_expiressave)rrErrr rHWs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rSr*rrrr reset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtyprR)r9expscope.) r9valuer)r*rXr b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwtis zCmfAuth.create_jwtcCs^|dkr||}ttj}t}||||}t | }|d|}|SNrY) rbr r6APPZrsa_private_keyrupdater4signrr[r^)rr_jwtZsignerdigestrfresrrr rsa_sign_pack_jwtus   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}||dS)u TODO: проверять exp здесь, а не в from_jwt, возвращать None, если просрочили rYNrar`)rrr6rer4rrr rdrsa_public_keyverifyr^r\loads)rjwtrar` signaturerhrgverifierZverifiedrrr rsa_verify_unpack_jwts     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)NrYrk)rrrr^r\rn)rorar`rprrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||Src) rrr6rer4rrrZ import_keyr rm) roZrsa_public_key_bytesrar`rprhrgrlrqrrr rsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cstd|stddSz||}Wn&tk rL}zd}W5d}~XYnX|s^tddSd}zt|ddd}Wnttfk rYnXtj }||krtddS|dd }|dd |_ |dd |_ |dd |_ d|_ d|_tjtd r|j std |Sttd ^}|}d} |j dD]"} | |drBd} qfqB| std W5QRdSW5QRXtd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)rr`rWz)from_jwt: reset auth, cause token expiredT)emptyr9rXz/custom/org_nameu,from_jwt: нет билета доступаF :zfrom_jwt: jwt is ok, z, )printrr Exceptionr)get TypeError ValueErrordatetimenowZ timestampr9emailrXZjwt_is_supportZjwt_is_match_orgospathexistsZ PROJECT_DIRopenreadr startswith) r8rorgerWr~objforg_nameZacceptZpermrrr from_jwtsT  zCmfAuth.from_jwtc Cs|j|dgd}|s$|j|dgd}|s8|j|dgd}|s\tjjdddd|idd d dSt|}d tj}}|||}|t|}}|||}t |j tj |}| |} zt | tj} Wn<tk rtd tjjdddd|idd d YdSX| } d |jd }}| ||} |||jd }}| ||} |||j}}| ||}|t| }}| ||}tt|dkrtjjdddd|idd d dStjjdddd|idd d |S)Nz***) ext_loginfieldsr9r)rrrrr9failToperatecmf_model_nameparent audit_data result_status celery_skiprz$get_by_challenge_resp: wrong paddingrrRok)rzmodelsCmfAudit audit_eventr1r2rr5r0r6r!r7Zdecryptr r|rxr^r' ts_lengthr*r))r8r9Zchallenge_resprr;r<rAZencrypted_messagerBZres0Zres1Zres2r=r?r>rrr get_by_challenge_respsn             zCmfAuth.get_by_challenge_respcCs"|}||_||_||||Sr$)r9r set_pass_hash)r8r9hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr.zNot Implemented for )rrrrr4r)NotImplementedError) r8r@Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr check_secret*s   zCmfAuth.check_secretcCs`|j|d}|r@|||jjr@tjjddd|idddd|Stjjddd|idddddS) Nr9rrr9rTrrrrrrr)rzrrrZrrr)r8r9r:rrrr from_login_password6s"   zCmfAuth.from_login_passwordcCs$t|}t|}|||dSr$)r1r2set_pass_hash_bytes)rrr# hash_bytes salt_bytesrrr rFs  zCmfAuth.set_pass_hashcCs2t|}t|}d|d||_dS)Nzpbkdf2_sha256$100000$r)rr[r^r)rrrrrrrr rKszCmfAuth.set_pass_hash_bytescCstjSr$)gr)r8rrr current_authVszCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nzutf-8) rangeappendrandomchoicestring ascii_lettersdigitsjoinr4)r8charsirrr gen_saltZs zCmfAuth.gen_saltcsztjtj|s,dfddt|D}t|}td| |d}| ||t j j ddd|jid d d d |S) uO Генерирует новый пароль :return: rc3s|]}tVqdSr$)rr.0rZlettersrr hsz)CmfAuth.reset_password..r.r/reset_passwordrr9NrTr)rrrrrtyperr3rr4rrrrr9)rlengthr:r#rrrr ras$    zCmfAuth.reset_passwordcCs@dtj}d|g}t|||tjjdddd|iddddS) Nu&Пароль для доступа к u Пароль: send_passwordrrrTr)rKZ PROJECT_NAMErrrr)r8r:rZsubjectZ msg_contentsrrr rss   zCmfAuth.send_passwordcCshddlm}|}tj||d}||jtjd|ddd}|jdkrVt d t |j d d S) Nr)session)r9 rg_member_ofz /auth/signupT)r9Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) ZrequestsrrZ CmfPersonrTZpostrKrLZ status_coderyrIZcookiesrz)r8r9rrsZpersonrrrr create_person|s   zCmfAuth.create_personcsh|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||S)Nrrvrw)groups is_changedrXis_nullrZstripsuperrT)rargskwargsrZgrp_name __class__rr rTs z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rwr)rrrrr sz)CmfAuth.prepare_scope..rv)rXrsetrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}|dd}zt|}Wn tk rDd}t|YnX|||}|s|d|ddd}t|t||S)Nr`issuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!)rsrZread_crm_pub_key RuntimeErrorryrtloggingerror)r8 eva_app_tokenrgrZ crm_pub_keyrrmrrr _check_tokens    zCmfAuth._check_token)usersc Os||}|dd}|D]}zt|d}|j|ddddgd} | svtj|d } td || |d pd } t| p|| _ |d pd } t| pd| _ | j j ri| _ | jsg| _|| jkr| j|g| j |<|drHtd|||| jkr,| j|| j |=d| j _| Wq|dD]:} td|d| d|| j || d| j _qP|d| _td|td| j | ttd| jWqtk rtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap r`rr9rrX auth_pluginreg_org_name_listrru(Создали пользователя rrrNZ cmf_deletedu4Пользователь {} удален из crm {}Tru,Добавляем пользователю u права u в crm auth_optionsz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr(lowerrrzrrrdebugrTrrrrrrformatremoverrZcommit_with_eventrXryZ exception) r8rrrrrgrZ user_dictr9userrrZgrp_coderrr rpc_account_sync_pushsV              zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeZext_ipZcmf_Z_id)rendswithhasattrsetattr)rZobj_dictZ field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_fr`rpluginrr )ext_idrzplugin.*rzNOT INcSsg|] }|dqS)rr)rrrrr r sz3CmfAuth.rpc_account_plugin_push..)filterrr) rKZIS_BOX_VERSIONrrZ CmfPluginrzrrTZCmfAuthLdapPluginrrlistdelete) r8rZ auth_pluginsrrrrgrrrZauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_push)rD)T)rN)rN)rN)N)'__name__ __module__ __qualname__r'rpropertyr!r#r- classmethodrCrPrHrUrbrj staticmethodrrrsrtrrrrrrrrrrrrrTrrrrr __classcell__rrrr rsb         4 8           8r)#rr}r3r\rr%rr*rMrZ urllib.parserZ Crypto.CipherrrZ Crypto.HashrrZCrypto.PublicKeyrZ Crypto.Randomr ZCrypto.Signaturer ZCrypto.Util.Paddingr r Z cmf.includerrrrZmodules.auth.models.supervisorrrrrrr s*