Wie sichern Sie die Kolben-admin-panel mit Kolben-Sicherheit

Ich bin auf der Suche nach sicheren Web-API mit Kolben und integriert mit flask-admin um eine admin-Oberfläche. Ich suchte und fand, dass die Kolben-admin ist ein admin-panel auf /admin und standardmäßig kann jeder Zugriff darauf haben. Es gibt keine Authentifizierung, system und vollständig zu öffnen (ohne Sicherheit), da Sie nicht davon ausgehen, was würde verwendet werden, um Sicherheit zu bieten. Diese API hat, um in der Produktion eingesetzt werden, so können wir nicht eine offene /admin route für jedermann schlagen Sie den url. Die richtige Authentifizierung erforderlich ist.

In views.py ich kann nicht einfach den /admin route und Authentifizierung durch Dekorator als wäre das überschreiben der bestehenden Strecke bereits erstellt flask-admin so dass würde einen Fehler verursachen.

Weitere Forschung zeigt, dass es zwei Module flask-admin und flask-security. Ich weiß, dass flask-admin hat is_accessible Methode, um es zu sichern, aber es ist nicht viel Funktionalität, die zur Verfügung gestellt von flask-security.

Habe ich nicht gefunden keine Methode gibt, um sichere Ende-Punkt /admin plus alle anderen end-Punkte, beginnend mit /admin wie /admin/<something>.

Ich bin auf der Suche, die speziell für diese Aufgabe mit Kolben-Sicherheit. Wenn es nicht möglich ist, bitte alternativen vorschlagen.

PS: ich weiß, ich kann sperren ngnix selbst, aber das wäre die Letzte option. Wenn ich kann ein system-Authentifizierung durch flask-security gut sein würde.

InformationsquelleAutor der Frage Sanyam Khurana | 2015-06-27

  1. 6

    Sollten Sie sich die Kolben-Security-Admin Projekt, ich denke, es deckt ziemlich klar, was Sie suchen.

    Entnommen direkt aus dem link oben:

    • Beim ersten Besuch der app-Startseite werden Sie aufgefordert, zu melden, Dank Kolben-Sicherheit.
    • Wenn Sie sich mit [email protected] und Kennwort=Passwort, haben Sie die "end-user" - Rolle.
    • Wenn Sie sich mit [email protected] und Kennwort=Passwort, haben Sie die "admin" Rolle.
    • Entweder-Rolle erlaubt den Zugriff auf die home-Seite.
    • Entweder Rolle ist berechtigt, den Zugang zu der /admin-Seite. Jedoch, es sei denn, Sie haben die "admin" Rolle sind, sehen Sie nicht die Registerkarten für die Verwaltung von Benutzern und Rollen auf dieser Seite.
    • Nur der admin-Rolle ist berechtigt, den Zugang zu sub-Seiten /admin-Seite /admin/userview. Andernfalls erhalten Sie eine "verbotene" Reaktion.
    • Beachten Sie, dass, wenn Sie einen Benutzer Bearbeiten, die Namen der Rollen werden automatisch aufgefüllt, Dank Kolben-Admin.
    • Können Sie hinzufügen und Bearbeiten von Benutzern und Rollen. Die resultierende Benutzer werden in der Lage sein, um sich anzumelden (es sei denn, Sie legen active=false) und wenn Sie die "admin-Rolle", wird in der Lage sein zu verwalten.

    Der entsprechende code befindet sich in main.py und klar kommentiert, zu erklären, wie zu replizieren, die den Prozess der Sicherung der Kolben-admin-panel mit Kolben-Sicherheit.

    Den einfachsten, entsprechende Stück an Sie ist folgende (Zeile 152-):

    # Prevent administration of Users unless the currently logged-in user has the "admin" role
def is_accessible(self):
    return current_user.has_role('admin')

    Ich hoffe, das ist hilfreich.

    InformationsquelleAutor der Antwort RamiMac

  2. 7

    Da dies die erste Folge für die "Fläschchen-security secure-admin" google-Suche, und es gibt keine out-of-the-box-Lösung, aber ich denke, dass ich dazu beitragen kann.

    Ähnliche Frage wurde auf der Kolben-admin Projekt Ausgabe-Liste und ein einfaches Beispiel mit Kolben-login und mogodb vorgesehen ist hier.

    Habe ich ein Beispiel mit SQLAchemy für eine sqlite-Datenbank und Fläschchen-Sicherheit. Siehe Beispiel-Kolben-app unter:

     #!/usr/bin/env python
# -*- coding: utf-8 -*-

import os
import os.path as op
from flask import Flask, render_template, url_for, request
from flask_sqlalchemy import SQLAlchemy
from sqlalchemy.event import listens_for
from flask.ext.security import current_user, login_required, RoleMixin, Security, SQLAlchemyUserDatastore, UserMixin
from flask_admin import Admin, AdminIndexView
from flask_admin.contrib import sqla

# Create application
app = Flask(__name__)

# Create dummy secrety key so we can use sessions
app.config['SECRET_KEY'] = '123456790'

# Create in-memory database
app.config['DATABASE_FILE'] = 'sample_db.sqlite'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///' + app.config['DATABASE_FILE']
app.config['SQLALCHEMY_ECHO'] = True
db = SQLAlchemy(app)

# Create directory for file fields to use
file_path = op.join(op.dirname(__file__), 'static/files')

# flask-security models

roles_users = db.Table('roles_users',
        db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
        db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))

class Role(db.Model, RoleMixin):
    id = db.Column(db.Integer(), primary_key=True)
    name = db.Column(db.String(80), unique=True)
    description = db.Column(db.String(255))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password = db.Column(db.String(255))
    active = db.Column(db.Boolean())
    confirmed_at = db.Column(db.DateTime())
    roles = db.relationship('Role', secondary=roles_users,
                            backref=db.backref('users', lazy='dynamic'))

# Create Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)

# Only needed on first execution to create first user
#@app.before_first_request
#def create_user():
#    db.create_all()
#    user_datastore.create_user(email='[email protected]', password='pass')
#    db.session.commit()

class AnyModel(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.Unicode(64))

    def __unicode__(self):
        return self.name

class MyAdminIndexView(AdminIndexView):
    def is_accessible(self):
        return current_user.is_authenticated() # This does the trick rendering the view only if the user is authenticated

# Create admin. In this block you pass your custom admin index view to your admin area 
admin = Admin(app, 'Admin Area', template_mode='bootstrap3', index_view=MyAdminIndexView())


# Add views
admin.add_view(sqla.ModelView(AnyModel, db.session)) 

# To acess the logout just type the route /logout on browser. That redirects you to the index
@login_required
@app.route('/login')
def login():
    return redirect('/admin')

@app.route('/')
def index():
    return render_template('index.html')


if __name__ == '__main__':

    # Build sample db on the fly, if one does not exist yet.
    db.create_all() 
    app.run(debug=True)

    Entnehmen Sie bitte der Kolben-security docs zu lernen gewusst wie: anpassen der login-Seite.

    Hoffe, das hilft.

    InformationsquelleAutor der Antwort guilhermerama

  3. 1

    Dort den Abschnitt über Sicherheit in der Kolben-Admin-Dokumentation: http://flask-admin.readthedocs.io/en/latest/introduction/#authorization-permissions

    InformationsquelleAutor der Antwort Joes

  4. 1

    Nutze ich @RamiMac Antwort für alle sub-Ansichten, aber für den index ein (standardmäßig /admin), ich benutze diese Methode, re-wickeln Sie die Methode mit einem admin Rolle zu sehen.

    @app.before_first_request
def restrict_admin_url():
    endpoint = 'admin.index'
    url = url_for(endpoint)
    admin_index = app.view_functions.pop(endpoint)

    @app.route(url, endpoint=endpoint)
    @roles_required('admin')
    def secure_admin_index():
        return admin_index()

    In meinem Projekt, diese geht direkt nach alle meine Flask-Admin code, der sich in seinen eigenen startup-Skript custom_flaskadmin.py.

    InformationsquelleAutor der Antwort seaders

Schreibe einen Kommentar