Аутентификация с использованием REMOTE_USER
¶
Этот документ описывает, как использовать внешние источники аутентификации (когда веб-сервер устанавливает переменную окружения REMOTE_USER
) в ваших приложениях Django. Этот тип аутентификации обычно встречается на сайтах интрасетей, с решениями единой регистрации, такими как IIS и Integrated Windows Authentication или Apache и mod_authnz_ldap, CAS, Cosign, WebAuth, mod_auth_sspi и т.д.
Когда веб-сервер заботится об аутентификации, он обычно устанавливает переменную среды REMOTE_USER
для использования в базовом приложении. В Django переменная REMOTE_USER
доступна в атрибуте request.META
. Django можно настроить на использование значения REMOTE_USER
с помощью классов RemoteUserMiddleware
или PersistentRemoteUserMiddleware
, а также RemoteUserBackend
, найденных в django.contrib.auth
.
Конфигурация¶
Во-первых, вы должны добавить django.contrib.auth.middleware.RemoteUserMiddleware
к параметру MIDDLEWARE
после параметра django.contrib.auth.middleware.AuthenticationMiddleware
:
MIDDLEWARE = [
'...',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.RemoteUserMiddleware',
'...',
]
Далее необходимо заменить ModelBackend
на RemoteUserBackend
в параметре AUTHENTICATION_BACKENDS
:
AUTHENTICATION_BACKENDS = [
'django.contrib.auth.backends.RemoteUserBackend',
]
При такой настройке RemoteUserMiddleware
обнаружит имя пользователя в request.META['REMOTE_USER']
и будет аутентифицировать и автологинить этого пользователя с помощью RemoteUserBackend
.
Имейте в виду, что эта конкретная настройка отключает аутентификацию со значением по умолчанию ModelBackend
. Это означает, что если значение REMOTE_USER
не установлено, то пользователь не сможет войти в систему, даже используя интерфейс администратора Django. Добавление 'django.contrib.auth.backends.ModelBackend'
к списку AUTHENTICATION_BACKENDS
будет использовать ModelBackend
в качестве запасного варианта, если REMOTE_USER
отсутствует, что решит эти проблемы.
Управление пользователями в Django, такое как представления в contrib.admin
и команда управления createsuperuser
, не интегрируется с удаленными пользователями. Эти интерфейсы работают с пользователями, хранящимися в базе данных, независимо от AUTHENTICATION_BACKENDS
.
Примечание
Поскольку RemoteUserBackend
наследуется от ModelBackend
, вы будете иметь все те же проверки прав доступа, которые реализованы в ModelBackend
.
Пользователям с is_active=False
не будет разрешена аутентификация. Используйте AllowAllUsersRemoteUserBackend
, если вы хотите разрешить им это.
Если ваш механизм аутентификации использует пользовательский HTTP-заголовок, а не REMOTE_USER
, вы можете подкласс RemoteUserMiddleware
и установить атрибут header
в нужный ключ request.META
. Например:
from django.contrib.auth.middleware import RemoteUserMiddleware
class CustomHeaderMiddleware(RemoteUserMiddleware):
header = 'HTTP_AUTHUSER'
Предупреждение
Будьте очень осторожны при использовании подкласса RemoteUserMiddleware
с пользовательским HTTP-заголовком. Вы должны быть уверены, что ваш внешний веб-сервер всегда устанавливает или удаляет этот заголовок на основе соответствующих проверок подлинности, никогда не позволяя конечному пользователю отправить поддельное (или «подмененное») значение заголовка. Поскольку HTTP-заголовки X-Auth-User
и X-Auth_User
(например) оба нормализуются до ключа HTTP_X_AUTH_USER
в request.META
, вы также должны убедиться, что ваш веб-сервер не допускает поддельных заголовков, использующих подчеркивание вместо тире.
Это предупреждение не относится к RemoteUserMiddleware
в его конфигурации по умолчанию с header = 'REMOTE_USER'
, поскольку ключ, не начинающийся с HTTP_
в request.META
, может быть установлен только вашим сервером WSGI, а не напрямую из заголовка HTTP запроса.
Если вам нужно больше контроля, вы можете создать свой собственный бэкенд аутентификации, который наследуется от RemoteUserBackend
и переопределить один или несколько его атрибутов и методов.
Использование REMOTE_USER
только на страницах входа в систему¶
Промежуточное ПО аутентификации RemoteUserMiddleware
предполагает, что заголовок HTTP запроса REMOTE_USER
присутствует во всех аутентифицированных запросах. Это может быть ожидаемым и практичным, когда используется Basic HTTP Auth с htpasswd
или подобные механизмы, но при использовании Negotiate (GSSAPI/Kerberos) или других ресурсоемких методов аутентификации, аутентификация на внешнем HTTP-сервере обычно устанавливается только для одного или нескольких URL входа, а после успешной аутентификации приложение должно само поддерживать аутентифицированную сессию.
PersistentRemoteUserMiddleware
обеспечивает поддержку этого варианта использования. Он будет поддерживать аутентифицированную сессию до явного выхода пользователя из системы. Этот класс можно использовать в качестве замены RemoteUserMiddleware
в документации выше.