...

вторник, 29 сентября 2015 г.

Авторизация в Redmine с другого сайта

На сайте centos-admin.ru дизайнер придумал очень здоровский эффект для формы логина. Идея формы состоит в том, что пользователь вводит свои логин и пароль в Redmine и попадает авторизованным на свою страничку.

Все бы здорово, но в Ruby on Rails (на коих Redmine сделан) прямые POST запросы с внешних сайтов не принимаются — для успешного запроса нужен авторизационный токен.

Сей токен генерируется rails-приложениями в автоматическом режиме, хранится в cookies. В связи с этим сперва думал в iframe загружать сайт с Redmine-ом и из cookies брать нужный ключ. Но как-то это совсем не rails-way.

Самое простое решение — слегка пропатчить Redmine — добавить возможность обработки запросов с внешних ресурсов. Благо в Redmine все для этого есть — можно написать небольшой плагин, который и будет решать эту задачу.

Что будет делать плагин?


Вопрос казалось бы простой, но нужно помнить о сохранении безопасности пользовательских данных.

Первые решения со Stackoverflow предлагали отключать проверку токена для конкретного экшена. Но это совсем не решения, т.к. открывают дыру в безопасности сайта.

Соответственно остается вариант использовать самостоятельно генерируемый токен, на стороне Redmine его проверять и в случае успешной проверки, проводить авторизацию.

Как генерировать токен?


Самый простой вариант — использовать любую строку символов, но мне показалось, что этого мало для безопасной авторизации. Так как простой токен можно перехватить и использовать его для отправки данных с неавторизованных ресурсов.

Поэтому я решил в авторизационный токен добавить домен, с которого отправляется запрос и информацию о текущей дате.

На стороне сайта в хэлперах создаем метод

  def authenticity_token
    token = Settings.redmine_remote_login_token
    Base64.encode64 "#{token}-#{request.host}-#{Date.today}"
  end


и затем его используем в форме
<%= form_tag 'http://ift.tt/1LiL4r4', authenticity_token: authenticity_token do %>


Что происходит на стороне Redmine?


На стороне Redmine нужно добавить маршрут для обработки POST запросов на путь /remote_login
post 'remote_login', to: 'account#remote_login'


И слегка пропатчить AccountController, добавив к нему экшен remote_login:
module RemoteLogin
  module AccountControllerPatch
    def self.included(base) # :nodoc:
      base.class_eval do
        unloadable
        skip_before_filter :verify_authenticity_token, only: :remote_login
        before_filter :verify_remote_authenticity_token, only: :remote_login

        def remote_login
          authenticate_user
        rescue AuthSourceException => e
          logger.error "An error occured when authenticating #{params[:username]}: #{e.message}"
          render_error :message => e.message
        end

        private

        def verify_remote_authenticity_token
          uri = URI.parse(request.env['HTTP_REFERER'])
          token = Setting.plugin_redmine_remote_login['token']

          unless Base64.decode64(params['authenticity_token']) == "#{token}-#{uri.host}-#{Date.today}"
            if logger && log_warning_on_csrf_failure
              logger.warn "Can't verify CSRF token authenticity"
            end
            handle_unverified_request
          end
        end
      end
    end

  end
end
AccountController.send(:include, RemoteLogin::AccountControllerPatch)


Здесь используется отмена стандартной проверки токена
skip_before_filter :verify_authenticity_token, only: :remote_login


и вместо нее выполняется написанная нами
before_filter :verify_remote_authenticity_token, only: :remote_login


Вот собственно и весь плагин. Небольшой, но решает важную задачу — посетителям сайта удобно заходить в свой личный кабинет, не допуская при этом авторизацию с левых ресурсов.

С кодом плагина можно ознакомиться тут.

Советы, вопросы и замечания принимаются в комментариях.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий