U d\@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZd dl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) SupervisorcseZdZdZdZeddZeddZddZe d d Z dHd d Z dIddZ ddZ dJddZdKddZeddZeddZeddZe ddZe d d!Ze d"d#Ze d$d%Ze d&d'Zd(d)Zd*d+Ze d,d-Ze d.d/ZdLd1d2Ze d3d4Ze dMd5d6Zfd7d8Z d9d:Z!e d;d<Z"e e#d=d>d?Z$e d@dAZ%edBdCZ&edDdEZ'edFdGZ(Z)S)NCmfAuth cCst|jddS)N$base64 b64decode pass_hashsplitselfr./modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nrrrrrr salt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256順)r'lenbytesfromhexhashlibrencoder%r&r(r)r*r rZ block_sizenewZMODE_CBCZencryptr r+)clsloginpasswordr,startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretZivZcipherZencrypted_secretrrr test_gen_server_challenge_resp/s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsH|jddt|jd}|dkr*|j|d<tjd|dtj|S)u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hr=r7z/auth/?) reset_pass_set_datadictreset_password_hashr7configAUTH_SERVER_URLurllibparser)rZendpointparamsrrr reset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N Q)r%Z token_urlsaferCr)r*reset_password_expiressave)rr>rrr rAWs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rLr*rrrr reset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtyprK)r7expscope.) r7valuer)r*rQr b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwtis zCmfAuth.create_jwtcCs^|dkr||}ttj}t}||||}t | }|d|}|SNrR) r[r r5APPZrsa_private_keyrupdater4signrrTrW)rrXjwtZsignerdigestr_resrrr rsa_sign_pack_jwtus   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}ttt|dkrtdt|ddS||dS)NrRrPu9Время жизни токена закончилосьrZrY)rrr5r^r4rrr r]rsa_public_keyverifyrWrUloadsr)r*gdebug)rjwtrZrY signaturerar`verifierZverifiedrrr rsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)NrRrd)rrrrWrUrg)rjrZrYrkrrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||Sr\) rrr5r^r4rrrZ import_keyr rf) rjZrsa_public_key_bytesrZrYrkrar`rerlrrr rsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cs|td|stddSz||}Wn2tk r\}ztjdd}W5d}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}W5QRX| |_ |j pd d D]T}|r||d r"d|_ |dkrtjjrtd|d|_ d|_ qtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrYr7rQz/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rhrirm Exceptionr]logger exceptionr7emailrQZjwt_is_supportZjwt_is_match_orgospathexistsZ PROJECT_DIRopenreadstripr startswithZglobal_settingsZ support_mode)r6rjr`eobjorg_namefZpermrrr from_jwts@      "zCmfAuth.from_jwtc Cs|j|dgd}|s$|j|dgd}|s8|j|dgd}|sttjj"tjjdddd|idd d W5QRXdS|jj d r|j d \}}tj j |d rtj j|dgdD]}zR|||r tjj$tjjddd|dddd d W5QRX|WSWqtk rF}ztd|d|W5d}~XYqXqtjj$tjjddd|dddd d W5QRX|jj dr|||jj rtjj$tjjddd|dddd d W5QRX|Stjj"tjjdddd|idd d W5QRXdS)Nz***) ext_loginfieldsr7r)rwrrrr7failToperatecmf_model_nameparent audit_data result_status celery_skipZ allow_ldap@)domainplugin.*)rrZldap)r7typeoku/Ошибка авторизации через z: Z allow_base)getcmfutilcmfutil disable_aclmodelsCmfAudit audit_event auth_optionsrSr7rCmfAuthLdapPlugincountlistZsigninrtrhri check_secretr)r6r7Zchallenge_resprrr auth_pluginrrrr get_by_challenge_respsn  *   zCmfAuth.get_by_challenge_respcCs"|}||_||_||||Sr$)r7rw set_pass_hash)r6r7hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr.zNot Implemented for )rrrrr4r)NotImplementedError) r6r;Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr rs   zCmfAuth.check_secretc Cs|j|dgd}|r\|||jjr\tjj"tj j ddd|iddddW5QRX|Stjj"tj j ddd|idd ddW5QRXdS) Nrrrrr7rTrrrrrrr) rrrrSrrrrrrr)r6r7r8rrrr from_login_passwords&  zCmfAuth.from_login_passwordcCs$t|}t|}|||dSr$)r1r2set_pass_hash_bytes)rrr# hash_bytes salt_bytesrrr r/s  zCmfAuth.set_pass_hashcCs2t|}t|}d|d||_dS)Nzpbkdf2_sha256$100000$r)rrTrWr)rrrrrrrr r4szCmfAuth.set_pass_hash_bytescCstjSr$)rhr)r6rrr current_auth?szCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nrqzutf-8) rangeappendrandomchoicestring ascii_lettersdigitsjoinr4)r6charsirrr gen_saltCs zCmfAuth.gen_saltc stjtj|s,dfddt|D}t|}td| |d}| ||t j j $tjjddd|jid d d d W5QRX|S) uO Генерирует новый пароль :return: rqc3s|]}tVqdSr$)rr.0rZlettersrr Qsz)CmfAuth.reset_password..r.r/reset_passwordrr7NrTr)rrrrrrrr3rr4rrrrrrrrr7)rlengthr8r#rrrr rJs&    zCmfAuth.reset_passwordc CsXdtj}d|g}t|||tjj"tjj dddd|idddW5QRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrwrTr) rDZ PROJECT_NAMErrrrrrrr)r6r8rwZsubjectZ msg_contentsrrr r]s   zCmfAuth.send_passwordcCshddlm}|}tj||d}||jtjd|ddd}|jdkrVt d t |j d d S) Nr)session)r7 rg_member_ofz /auth/signupT)r7Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) ZrequestsrrZ CmfPersonrMZpostrDrEZ status_codertrBZcookiesr)r6r7rrsZpersonrrrr create_persongs   zCmfAuth.create_personcsh|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||S)Nrqrrrs)groups is_changedrQis_nullrSr}superrM)rargskwargsrZgrp_name __class__rr rM}s z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rsr)rrrrr sz)CmfAuth.prepare_scope..rr)rQrsetrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}tjdkr"tjdkr"|S|dd}zt|}Wn tk r\d}t|YnX| ||}|sd|ddd}t |t||S) NFalsez 127.0.0.1rYissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rnrDZEVA_ACCOUNT_USEZrequestZ remote_addrrZread_crm_pub_key RuntimeErrorrtrologgingerror)r6 eva_app_tokenr`rZ crm_pub_keyrrfrrr check_tokens    zCmfAuth.check_token)usersc Os||}|dd}|D]}zt|d}|j|dddddd gd } | sztj|d } td || |dpd } t| p|| _ |d pd } t| pd| _ | j j ri| _ | jsg| _|| jkr| j|g| j |<|drLtd|||| jkr0| j|| j |=d| j _| Wq|dD]:} td|d| d|| j || d| j _qT|d| _td|td| j | ttd| jWqtk rtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rYrr7rrQrreg_org_name_listrwrr)r7u(Создали пользователя rqNZ cmf_deletedu4Пользователь {} удален из crm {}Tru,Добавляем пользователю u права u в crm rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr(lowerr}rrrrrirMrwrrrrrformatremoverrZcommit_with_eventrQrtrv) r6rrrrr`rZ user_dictr7userrwrZgrp_coderrr rpc_account_sync_pushs^               zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeZext_ipZcmf_Z_id)r~endswithhasattrsetattr)rZobj_dictZ field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_frYrpluginrr )ext_idrrrzNOT INcSsg|] }|dqS)rr)rrrrr rsz3CmfAuth.rpc_account_plugin_push..)filterrr) rDZIS_BOX_VERSIONrrZ CmfPluginrrrMrrrrdelete) r6rZ auth_pluginsrrrr`rrrZauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_pushcKsB|jd|f||jtj|jjdtjtjdd|dS)NZ session_token)ZsecondsrXrZexpires) set_cookieZ get_tokenZ reauth_datedatetime timedeltaZaccess_token_expires_inrSrD PROLONG_DAYS)rresponse cookie_domain cookie_kwargsrrr set_session_tokens"zCmfAuth.set_session_tokencKsF|jd|jtjddf|tjtjtjtjdd|dS)Nrrrr)rrcrDTOKEN_TTL_DAYSrnowrr)rrrrrrr set_access_token s   zCmfAuth.set_access_tokencKs.|jd|tjtjtjdd|dS)Nnginx_auth_token password123rr)rr)rrrrrDr)rrrrrr set_nginx_tokenszCmfAuth.set_nginx_token)r=)T)rN)rN)rN)N)*__name__ __module__ __qualname__r'Z ts_lengthpropertyr!r#r- classmethodr<rIrArNr[rc staticmethodrmrnrorrrrrrrrrrrrrMrrrrrrrr __classcell__rrrr rsn         ' -           9 !  r)#rrr3rUrr%rr*rFrZ urllib.parserZ Crypto.CipherrrZ Crypto.HashrrZCrypto.PublicKeyrZ Crypto.Randomr ZCrypto.Signaturer ZCrypto.Util.Paddingr r Z cmf.includerwrrrZ supervisorrrrrrr s*