U ACej@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZd dl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) SupervisorcseZdZdZdZeddZeddZddZe d d Z dMd d Z dNddZ ddZ dOddZeedddZdPedddZeddZeddZedd Ze d!d"Ze d#d$Ze d%d&Ze d'd(Ze d)d*Zd+d,ZdQd-d.ZdRd/d0Ze d1d2Ze d3d4Z dSd6d7Z!e d8d9Z"e dTd:d;Z#fdd?Z%e d@dAZ&e e'dBdCdDZ(e dEdFZ)edGdHZ*edIdJZ+edUdKdLZ,Z-S)VCmfAuth cCst|jddS)N$base64 b64decode pass_hashsplitselfr./modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nrrrrrr salt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256順)r'lenbytesfromhexhashlibrencoder%r&r(r)r*r rZ block_sizenewZMODE_CBCZencryptr r+)clsloginpasswordr,startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretZivZcipherZencrypted_secretrrr test_gen_server_challenge_resp/s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsH|jddt|jd}|dkr*|j|d<tjd|dtj|S)u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hr=r7z/auth/?) reset_pass_set_datadictreset_password_hashr7configAUTH_SERVER_URLurllibparser)rZendpointparamsrrr reset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N Q)r%Z token_urlsaferCr)r*reset_password_expiressave)rr>rrr rAWs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rLr*rrrr reset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtyprK)r7expscope.) r7valuer)r*rQr b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwtis zCmfAuth.create_jwt)jwtcCsFtt|d}tt|d}|d|S)NrZrYrR)rrTrUrVr4rW)r\rZrYrrr jwt_to_struszCmfAuth.jwt_to_strcCs^|dkr||}ttj}t}||||}t | }|d|}|SNrR) r[r r5APPZrsa_private_keyrupdater4signrrTrW)rrXr\Zsignerdigestraresrrr rsa_sign_pack_jwt{s   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}ttt|dkrtdt|ddS||dS)NrRrPu9Время жизни токена закончилосьrZrY)rrr5r`r4rrr r_rsa_public_keyverifyrWrUloadsr)r*gdebug)rjwtrZrY signaturerbr\verifierZverifiedrrr rsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)NrRre)rrrrWrUrh)rkrZrYrlrrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||Sr^) rrr5r`r4rrrZ import_keyr rg) rkZrsa_public_key_bytesrZrYrlrbr\rfrmrrr rsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cs|td|stddSz||}Wn2tk r\}ztjdd}W5d}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}W5QRX| |_ |j pd d D]T}|r||d r"d|_ |dkrtjjrtd|d|_ d|_ qtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrYr7rQz/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rirjrn Exceptionr_logger exceptionr7emailrQZjwt_is_supportZjwt_is_match_orgospathexistsZ PROJECT_DIRopenreadstripr startswithglobal_settingsZ support_mode)r6rkr\eobjorg_namefZpermrrr from_jwts@      "zCmfAuth.from_jwtc Csb|jdd|gdgd}|s0|jdd|gdgd}|sJ|jdd|gdgd}|stjj(tjjdddd|id d d ||d W5QRXdS|jj d r|j d\}}tj j |drtj j|dgdD]}zh||jj |r8tjj6tjjddd|jj dddd d |jj |jj d W5QRX|WSWqtk rt}ztd|d|W5d}~XYqXqtjj6tjjddd|jj ddd d d |jj |jj d W5QRX|jj dr^|||jj r"tjj*tjjddd|dddd d ||d W5QRX|Stjj*tjjddd|ddd d d ||d W5QRXdS)N ext_loginZILIKEz***)filterfieldsr7rxZ ident_failedrfailTr) operatecmf_model_nameparent audit_data result_statuscurrent_transactionsecurity_level parent_name parent_codeZ allow_ldap@)domainplugin.*)rrauth_successedZldap)r7typeoku/Ошибка авторизации через z: auth_failedZ allow_basebase)getcmfutilcmfutil disable_aclmodelsCmfAudit audit_event auth_optionsrSr7rCmfAuthLdapPlugincountlistZsigninrrurirj check_secretr)r6r7Zchallenge_respr_r auth_pluginrrrr get_by_challenge_resps   *    zCmfAuth.get_by_challenge_respcCs"|}||_||_||||Sr$)r7rx set_pass_hash)r6r7hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr.zNot Implemented for )rrrrr4r)NotImplementedError) r6r;Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr rs   zCmfAuth.check_secretc Cs|j|dddgd}|rf|||jjrftjj(tj j ddd|idddd ||d W5QRX|Stjj(tj j d dd|idd dd ||d W5QRXdS) Nrr7rQr7rrrrTr) rrrrrrrrrrr) rrrrSrrrrrrr)r6r7r8rrrr from_login_password)s2  zCmfAuth.from_login_passwordcCsRtjjs dStjj|dgddgddgdD]"}|jr*|||jr*t|j q*dS)Nz-cmf_created_atrrcmf_created_at)rZorder_byslicer) rirZpassword_check_historyrCmfAuthHistoryZslistrrZCmfAuthReusePasswordErrorr)rr8historyrrr check_history<s zCmfAuth.check_historycCs(t|}t|}|j|||ddS)Nr8)r1r2set_pass_hash_bytes)rrr#r8 hash_bytes salt_bytesrrr rHs  zCmfAuth.set_pass_hashc Cs|dk r||t|}t|}d|d||_|jtjj |j d}|r|jd|_ t |jddW5QRXdS)Nzpbkdf2_sha256$100000$rr7FT)Z only_data)rrrTrWrZpassword_changed_dateZset_nowr CmfPersonrr7Zpassword_must_changerrrM)rrrr8rrpersonrrr rMs    zCmfAuth.set_pass_hash_bytescCstjSr$)rir)r6rrr current_auth]szCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nrrzutf-8) rangeappendrandomchoicestring ascii_lettersdigitsjoinr4)r6charsirrr gen_saltas zCmfAuth.gen_saltc s|dgtjtj|s8dfddt|D}t|}t d| |d}|j |||of|dt j j.tjjdd d|jid d d |j|jd d W5QRX|S)uO Генерирует новый пароль :return: r7rrc3s|]}tVqdSr$)rr.0rZlettersrr psz)CmfAuth.reset_password..r.r/rreset_passwordrNrTr) rrrrrrrrr)Z load_fieldsrrrrrrrr3rr4rrrrrrrrr7)rlengthr8forcer#rrrr rhs$    zCmfAuth.reset_passwordc Cs^dtj}d|g}t|||tjj(tjj dddd|idd||dd W5QRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrxrTr) rrrrrrrrr) rDZ HOSTNAME_FQDNrrrrrrrr)r6r8rxZsubjectZ msg_contentsrrr r{s   zCmfAuth.send_passwordcCshddlm}|}tj||d}||jtjd|ddd}|jdkrVt d t |j d d S) Nr)session)r7 rg_member_ofz /auth/signupT)r7Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) ZrequestsrrrrMZpostrDrEZ status_coderurBZcookiesr)r6r7rrsrrrrr create_persons   zCmfAuth.create_personc s|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||}|jjrt t j ||jdW5QRX|S)Nrrrsrt)rr) groups is_changedrQis_nullrSr~superrMrrrrr)rargskwargsrZgrp_namerc __class__rr rMs  z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rtr)rrrrr sz)CmfAuth.prepare_scope..rs)rQrsetrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}tjdkr|S|dd}zt|}Wn tk rRd}t|YnX|||}|sd|ddd}t |t||S)NFalserYissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rorDZEVA_ACCOUNT_USErZread_crm_pub_key RuntimeErrorrurploggingerror)r6 eva_app_tokenr\rZ crm_pub_keyrrgrrr check_tokens     zCmfAuth.check_token)usersc OsT||}|dd}|D].}zt|d}dddddd g} d } |d r|jt|d | d } | r|| _n|j|| d } | stj|d } t d|| |dpd} t| p|| _ |d pd} t| pd | _ | j jri| _ | jsg| _|| jkr4| j|g| j |<|drt d|||| jkrr| j|| j |=d| j _| Wq|dD]:} t d|d| d|| j || d| j _q|d| _t d|t d| j | tt d| jWqtk rHtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rYrr7rrQrreg_org_name_listrxrNZ old_loginrru(Создали пользователя rrZ cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr(lowerr~rr7rrrrjrMrxrrrrrformatremoverrZcommit_with_eventrQrurw)r6rrrrr\rZ user_dictr7_fieldsuserrxrZgrp_coderrr rpc_account_sync_pushsj                zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeZext_ipZcmf_Z_id)rendswithhasattrsetattr)rZobj_dictZ field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_frYrpluginrr )ext_idrrrzNOT INcSsg|] }|dqS)rr)rrrrr r"sz3CmfAuth.rpc_account_plugin_push..)rrr) rDZIS_BOX_VERSIONrrZ CmfPluginrrrMrrrrdelete) r6rZ auth_pluginsrrrr\rrrZauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_pushcKsf|jtj|jjdtjtjd}ttdtj }|j d| f||d|t j |||f|dS)N)ZsecondsrXZAUTH_SESSION_COOKIE_DOMAINZ session_tokenrexpires)Z reauth_datedatetime timedeltaZaccess_token_expires_inrSrD PROLONG_DAYSgetattrZrequestZhost set_cookieZ get_tokenrset_nginx_token)rresponse cookie_kwargsr cookie_domainrrr set_session_token&s$ zCmfAuth.set_session_tokencKsF|jd|jtjddf|tjtjtjtjdd|dS)Nrrrr)r rdrDTOKEN_TTL_DAYSrnowrr )rr rrrrr set_access_token7s   zCmfAuth.set_access_tokencKs6|stjtjtjd}|jd||d|dS)Nrnginx_auth_token password123r)rr)rrrrDrr )r rrrrrr r EszCmfAuth.set_nginx_token)r=)T)rN)rN)N)N)rNN)N)N).__name__ __module__ __qualname__r'Z ts_lengthpropertyr!r#r- classmethodr<rIrArNr[ staticmethodrBr]r(rdrnrorprrrrrrrrrrrrrrMrrrrrrrr  __classcell__rrrr rst          ' 2            @ !  r)#rrr3rUrr%rr*rFrZ urllib.parserZ Crypto.CipherrrZ Crypto.HashrrZCrypto.PublicKeyrZ Crypto.Randomr ZCrypto.Signaturer ZCrypto.Util.Paddingr r Z cmf.includerxrrrZ supervisorrrrrrr s*