aodag memo

Pyramidのセキュリティ

Contents

Pyramidのセキュリティの仕組み
- 認証
- 認可
アプリケーションでの実際
まとめ

始めに断っておこう。Pyramidにはファンシーなログインフォームやユーザー管理なんてついてこない。認証、認可の仕組みはあるが、Pyramidに設定一発で動くような押しつけがましいViewやModelは存在しない。そういうのが好きな人はDjangoというフレームワークがあるから、そっちにしときな。

このエントリでは、Pyramidで認証、認可の仕組みを使う方法を説明する。 CSRFとかそういうのは扱わないのであしからず。

Pyramidのセキュリティの仕組み

先に述べたとおりPyramidには認証と認可の仕組みがある。認証というのは、今アプリケーションを使っているのが誰なのかを特定するもので、認可は誰がその機能や処理を実行してよいかということである。

認証

Pyramidの認証では、AuthenticationPolicyがリクエストからprincipalを取り出すという方法で実現している。 princpalというのはユーザーがシステムの中でどのように認識されているかということであり、例えば単純にログインユーザーで判定されることもあるし、特定のIPアドレスやネットワークからアクセスしているといった情報から判定されることもある。

Pyramidで標準で用意されているAuthenticationPolicyでわかりやすいのはBasicAuthAuthenticationPolicyだろう。このポリシーが設定されていると、リクエストのAuthorizationヘッダの情報からprincipalを生成する。このほかに、セッションやクッキーなどで認証情報を保持するポリシーが用意されている。

結局のところ用意されているのは、リクエストからprincipalを取り出す方法だけで、実際にそのprincipalを有効なものだと判定するのは、アプリケーション側にゆだねられている。有効なprincipalと判定した後に、rememberメソッドによってAuthenticationPolicyに渡すと、それ以降のPyramidのセキュリティメカニズムの中で利用されるというわけだ。

認可

さて、利用者の役割などがわかれば、次はその人に何が許されているかという話になる。 Pyramidでは、許されていること(権限)をpermissionという用語で扱っている。 permissionはPyramidの実装上は単なる文字列である。(ただし、ドキュメントで説明されていないが、実際にはタプルなども利用可能である。今のところ。）

実際に認可が必要になるのはビューを実行するときである。ビューはadd_viewやview_configで登録するときにpermissionも指定できる。ビューを実行しようとしたときに指定したpermissionを持っていなければHttpForbiddenExceptionが発生して、例外ビューの処理に飛ばされてしまう。

このpermissionはprincipalに直接結びついているわけではない。 permissionとprincipalを結びつけるのがAuthorizationPolicyの役割である。

ここで、Pyramid標準で唯一用意されているACLAuthorizationPolicyの動きを見てみよう。

まず、なんらかの認証により、"aodag", "authenticated", "group:staff" という3つのprincipalを得ているとしよう。ここで、あるURLにアクセスするが、ACLAuthorizationPolicyは、コンテキストの__acl__プロパティを使って、permissionを取得する。

from pyramid.security import Allow
class SecurityContext(object):
    __acl__ = [
        (Allow, "authenticated", "view"),
        (Allow, "group:staff", "edit"),
    ]
    def __init__(self, request):
        self.request = request

上記のコンテキストによって、 "authenticated" から "view"パーミッション、 "group:staff"から"edit"パーミッションを得られる。ではこの状態で以下のようなビューがあるとしよう。

@view_config(context=SecurityContext, permission="view")
def protected_view(request):
    return dict()

@view_config(context=SecurityContext, permission="edit")
def edit_view(request):
    return dict()

@view_config(context=SecurityContext, permission="add_user")
def add_user_view(request):
    return dict()

二種類のビューそれぞれに異なるパーミッションが設定されている。今アクセスしているユーザーは "view","edit"の2つのパーミッションを持っているため、 protected_view, edit_viewにアクセスできる。しかし、"add_user" パーミッションは持っていないため、add_user_viewへのアクセスはできない。

では、パーミッションが要求されたときの流れをまとめてみよう。

AuthenticationPolicyがリクエストからprincipalを取り出す
AuthorizationPolicyがコンテキストからprincipalにマッチするpermissionを取り出す
上記で取り出されたpermission中にviewで指定されたpermissionが含まれているか判定する

Pyramidが用意しているのはこの流れだけであり、AuthenticationPolicyやAuthorizationPolicyは標準で用意されているものや、自分でカスタマイズしたものが使えるようになっている。

アプリケーションでの実際

さて、Pyramidが提供する認証、認可の仕組みを理解したところで、実際のアプリケーションでどのように利用するか考えてみよう。

セキュリティ設定

認証、認可ともに、Configuratorでの設定によって有効になる。

config.set_authetication_policy(AuthTktAuthenticationPolicy(secret="fieaoji3w-bb#"))
config.set_authorization_policy(ACLAuthorizationPolicy())

AuthTktは、クッキーに認証トークンを持たせる方法の認証ポリシーである。 Webアプリケーションサーバーを分散している場合でも、セッションレプリケーションなどを必要とせずに認証情報を扱える。 ACLAuthorizationPolicyはすでに説明したとおり、標準ではこれしか提供されていない。

ビューとモデル

例として、ありがちなWikiアプリケーションに以下のようなセキュリティモデルを設定してみよう。

WikiPageは 誰でも 読むこと(view)ができる
WikiPageは 認証済のユーザー だけ作成(create)できる
WikiPageは 作成者 によってロック(lock) することができる
WikiPageは 作成者 によってロック解除(unlock) することができる
ロックされたWikiPageは 作成者 のみが編集(edit)できる
ロックされていないWikiPageは 認証済のユーザー が編集(edit)できる

これらを __acl__ に定義したモデル、WikiPage:

class WikiPage(Persistent):
    def __init__(self, pagename, data, owner):
        self.__name__ = pagename
        self.pagename = pagename
        self.data = data
        self.owner = onwer
        self.locked = False

    @property
    def __acl__(self):
        if self.locked:
            return [(Allow, Everyone, "view"),
                    (Allow, self.owner, "unlock"),
                    (Allow, self.owner, "edit")]
        else:
            return [(Allow, Everyone, "view"),
                    (Allow, self.owner, "lock"),
                    (Allow, Authenticated, "edit")]

    def lock(self):
        self.locked = True

    def unlock(self):
        self.locked = False


class Wiki(PersistentMapping):
    @property
    def __acl__(self):
        return [(Allow, Authenticated, "create")
        ]

上記のようにコンテキストによって、権限が与えられる。では、これらの権限を要求するビューの定義をしていこう。

@view_config(context=WikiPage, permission="view", renderer="wikipage.pt")
def wikipage_view(context, request):
    return dict(wikipage=context)


@view_config(context=WikiPage, name="lock", permission="lock", request_method="POST")
def wikipage(context, request):
    context.lock()
    return HTTPFound(location=request.resource_url(context))

@view_config(context=WikiPage, name="unlock", permission="unlock", request_method="POST")
def wikipage(context, request):
    context.unlock()
    return HTTPFound(location=request.resource_url(context))

@view_config(context=WikiPage, name="edit", permission="edit", renderer="wikipage_edit.pt")
def wikipage_edit(context, request):
    form = Form(context)
    if request.method == "POST":
        if form.validate(request.POST):
            context.data = request.POST['data']
            return HTTPFound(location=request.resource_url(context)
    return dict(wikipage=context, form=form)

@view_config(context=Wiki, name="create", permission="create", renderer="wikipage_create.pt")
def wikipage_create(context, request):
    form = Form()
    pagename = request.matchdict['subpath']
    if request.method == "POST":
        if form.validate(request.POST):
            page = WikiPage(data=request.POST['data'], pagename=pagename, owner=authenticated_userid(request))
            page.__parent__ = context
            context[page.__name__] = page
            return HTTPFound(location=request.resource_url(page)
    return dict(wiki=context, form=form)

このように、ビュー内では権限などを気にすることなく本来の機能的な処理だけを記述できる。ログイン中のユーザーは authenticated_userid で取得できる。

ログイン処理

さて、ここまで話を避けていた感のあるログイン処理である。認証というとログイン処理のことであろうと思われるかもしれないが、前述のとおりログイン処理はpyramidで提供していないため、アプリケーションで用意しなければならない。

まずは、ユーザーデータである。

import hashlib

class User(Persistent):
    def __init__(self, username, password):
        self.username = username
        self.password = password

    def set_password(self, password):
        self._password = hashlib.sha1(password.encode('utf-8')).hexdigest()

    password = property(fset=set_password)

    def verify_password(self, password):
        return self._password == hashlib.sha1(password.encode('utf-8')).hexdigest()

パスワードをハッシュ化して保存する処理があるため分かりにくいが、やれることは usernameに対するpasswordが正しいかどうかだけである。このUserモデルを使ったlogin APIを作る:

def get_user(request, username):
    conn = get_connection(request):
    root = conn.root()
    users = root['users']
    return users.get(username)


def login(request, username, password):
    user = get_user(request)

    if user is None:
        return None

    if not user.verify_password(password):
        return None

    return user

ログインフォームではこのAPIを利用する:

def login_form(request):
    if request.POST:
        user = login(request, request.POST.get('username'), request.POST.get('password'))
        if user is not None:
            headers = remember(request, user.username)
            return HTTPFound(request.resource_url(request.root), headers=headers)
    return dict()

rememberは、クッキーやAuthorizationヘッダなど、レスポンスに必要な情報を返してくる。 (認証の種類によっては、ヘッダ情報を使わずにセッションなどに追加する場合もあるが、その場合は空のリストが返ってくる。) ログインに成功した場合はｍ、rememberの結果をヘッダに追加したレスポンスを返すようにする。

ログアウトは単純にforgetを呼び、戻り値をレスポンスヘッダに追加する:

def logout(request):
    headers = forget(request)
    return HTTPFound(request.resource_url(request.root), headers=headers)

まとめ

Pyramidは認証、認可の仕組みを持っているが、具体的に即使えるような出来合いのものではない
認証はリクエストにどのように認証情報が入ってるのかだけに対応している
認可は認証されたprincipalに対して、現在のコンテキストにどのような権限を与えるかというもの

ヽ(´＿・ω・)＿この内容は、結構しんどかった。ちなみに前回のエントリでシュークリームを2つほどせしめたので、次はミルクティーとかいいなって思った（小並

There are comments.

Other articles

Pyramidのコントローラースタイル
Wed 05 February 2014
By aodag

In python.

tags: python pyramid
Contents
とりあえずコントローラースタイルと書いたが、ようするにWebアプリケーションがリクエストを受け取ってから処理に入るまでの流れである。 Pyramidはあえて複数の方法を採用している。その他のフレームワークから来る人たちがお気に入りの方法をとれるようにするためだ。大きく分けて、Zope系由来のトラバーサル、DjangoやPylonsが使っているURLディスパッチがある。 (TurboGearsはPylons上のフレームワークだけどURLディスパッチをオミットしてトラバーサルっぽい動きをする) Pyramidはこの2種類をそれぞれ使えるし、同時に利用することもできる。とりあえず2種類を説明して、そのあとに混合したパターンを説明しよう。
URLディスパッチ

最近のWebフレームワークはこちらが主流になっているようだ。 URLを正規表現やそれに近いパターンで解析して、パターンごとのコントローラーやビューを呼び出す。リクエストからレスポンスまでの処理のは以下のようになる。
- URLパターンマッチング
- パターンに対応するビューの呼び出し
- ビューの中でモデルをローディング
- ビューがテンプレートにモデルを渡す
PyramidでのURLディスパッチ

Pyramidはルーティングとビューの登録がわかれている。

ルーティング:

config.add_route("user", "/users/{user_id}")

"user"ルートのURLパターンの登録である。 "{}" で囲まれている部分はプレースホルダーとなっていて、この部分に相当するパラメータは ...
read more
There are comments.

Page 1 / 1