Web технологии

Авторизация в Web-приложениях

HTTP - stateless протокол, т.е. не предполагает поддержания соединения между клиентом и сервером. Это значит, что сервер не может связать информацию о пользователе с конкретным соединением и вынужден загружать ее при каждом запросе.

Basic HTTP Authorization

Заголовки и коды ответа

• 401 Unauthorized - для доступа к ресурсу нужна авторизация
• WWW-Authenticate: Basic realm="admin" - запрос логина/пароля для раздела admin
• Authorization: Basic Z2l2aTpkZXJwYXJvbA== - передача логина/пароля в виде base64(login + ':' + password)
• 403 Forbidden - логин/пароль не подходят
• REMOTE_USER - CGI переменная с именем авторизованного пользователя

Достоинства и недостатки

Простота и надежность Готовые модули для web-серверов Не требует написания кода Логин/пароль передаются в открытом виде - нужен https Невозможно изменить дизайн формы входа Невозможно «сбросить» авторизацию

Cookies

Cookies - небольшие фрагменты данных, которые браузер хранит на стороне клиента и передает на сервер при каждом запросе. Cookies привязаны к доменам, поэтому при каждом запросе сервер получает только «свои» cookies. Невозможно получить доступ к cookies с другого домена. Cookies используются для поддержания состояния (state management) в протоколе HTTP и, в частности, для авторизации.

Атрибуты Cookie

• name=value - имя и значение cookie
• Expires - время жизни cookie, по умолчанию - до закрытия окна.
• Domain - домен cookie, по умолчанию - домен текущего URL.
• Path - путь cookie, по умолчанию - путь текущего URL.
• Secure - cookie должна передаваться только по https
• HttpOnly - cookie не доступна из JavaScript

Установка и удаление Cookies

Для удаления cookie, сервер устанавливает Expires в прошлом.

Получение Cookies

При каждом запросе браузер выбирает подходящие cookies и отправляет только их значения.

Правила выбора Cookies

Пусть URL=http://my.app.site.com/blog/post/12
Браузер выберет все cookies, у которых:

• Не истек срок Expires
• Domain совпадает с my.app.site.com или является .суффиксом, например Domain=.site.com
• Path является префиксом /blog/post/12,
  например Path=/blog/
• Не стоит флага Secure

Работа с cookie в Django

Cookie-based авторизация

Необходимые модели

Вход на сайт

URL = /login/

• Клиент отправляет login / password на сервер
• Сервер проверяет login / password и создает сессию
• Сервер устанавливает cookie, содержащий ключ сессии
• Сервер делает перенаправление на целевую страницу

Проверка сессии

При запросе по любому URL:

• Клиент передает в заголовке Cookie свой sessid
• Сервер загружает сессию из базы данных по sessid
• Сервер загружает объект пользователя по id из сессии

Как правило, для проверки сессии используются middleware.

Middleware в Django

Middleware - это Python класс, в котором есть один из указанных ниже методов. Список всех активных middleware указан в настройке MIDDLEWARE_CLASSES.

• process_request(request)
• process_view(request, view, args, kwargs)
• process_response(request, response)
• process_exception(request, exception)

Выход из приложения

Для выхода из приложения достаточно удалить объект сессии:

django.contrib.sessions

Предоставляет поддержку сессий, в том числе анонимных. Позволяет хранить в сессии произвольные данные, а не только ID пользователя. Позволяет хранить сессии в различных хранилищах, например Redis или Memcached.

django.contrib.auth

Предоставляет готовую модель User, готовую систему разделения прав, view для регистрации / входа / выхода. Используется другими приложениями, например django.contrib.admin

Безопасность паролей

Главная задача - максимально затруднить доступ злоумышленника к исходному паролю пользователя. Меры безопасности:

• Отправка формы входа (login / password) по https
• Пароли хранятся в виде хэшей с добавлением соли
• Защита от перебора в форме логина, например captcha

Безопасность сессий

Основное направление атаки - кража cookie, хранящей ключ сессии, т.е. кража авторизации. Меры безопасности:

• Ключ сессии невозможно подобрать перебором
• HttpOnly флаг для сессионной cookie
• Привязка сессии к IP адресу
• Ограничение сессий по времени
• Запрос пароля при критических действиях: смене пароля и т.д.