16
私は倹約を使用するシステムを開発しています。クライアントのIDを確認し、操作をACL化したい。 Thriftはそれらをサポートしていますか?リリーフで認証と承認を処理する方法は?
A
答えて
13
直接ではありません。これを行う唯一の方法は、サーバー上に(一時的な)キーを作成する認証方法を用意し、最初の引数がこのキーであり、すべて認証されていないエラーをさらに発生させるようにすべてのメソッドを変更することです。例えば:
exception NotAuthorisedException {
1: string errorMessage,
}
exception AuthTimeoutException {
1: string errorMessage,
}
service MyAuthService {
string authenticate(1:string user, 2:string pass)
throws (1:NotAuthorisedException e),
string mymethod(1:string authstring, 2:string otherargs, ...)
throws (1:AuthTimeoutException e, ...),
}
我々は、このメソッドを使用すると、キーはすべて「てきぱき」維持するために30分のタイムアウトで安全なmemcachedのインスタンスに私たちのキーを保存します。 AuthTimeoutExceptionを受け取ったクライアントは再認証と再試行が予想され、ブルートフォース攻撃を阻止するためのファイアウォールルールがいくつか用意されています。
1
自動化とアクセス許可のようなタスクは、通常、一般的なRPC /シリアル化の概念よりも(通常は)アプリケーションロジックに関連しているため、Thriftの一部とはみなされません。 Thriftがすぐにサポートしている唯一のものはTSASLTransportです。私はそれを使用する必要性を感じなかったので、私はそれについて多くを言うことができません。
もう1つの選択肢は、残念なことに書面ではC++でしか実装されていないTHeaderTransportを使用することです。したがって、他の言語で使用する予定がある場合は、追加作業をする必要があります。私たちが貢献を受け入れると言うことは言うまでもない。
0
少し遅れた(私は非常に遅く思うが)2,3年前にこのためにスリフトソースコードを修正した。
ちょうどこのために、https://issues.apache.org/jira/browse/THRIFT-4221へのパッチでチケットを提出しました。
これを見てください。基本的には、これを行う "BeforeAction"フックを追加することです。
例Golangあなたは、ワイヤ上をクリアテキストでパスワードを送信している
+ // Called before any other action is called
+ BeforeAction(serviceName string, actionName string, args map[string]interface{}) (err error)
+ // Called if an action returned an error
+ ProcessError(err error) error
}
type MyServiceClient struct {
@@ -391,7 +395,12 @@ func (p *myServiceProcessorMyMethod) Process(seqId int32, iprot, oprot thrift.TP
result := MyServiceMyMethodResult{}
var retval string
var err2 error
- if retval, err2 = p.handler.MyMethod(args.AuthString, args.OtherArgs_); err2 != nil {
+ err2 = p.handler.BeforeAction("MyService", "MyMethod", map[string]interface{}{"AuthString": args.AuthString, "OtherArgs_": args.OtherArgs_})
+ if err2 == nil {
+ retval, err2 = p.handler.MyMethod(args.AuthString, args.OtherArgs_)
+ }
+ if err2 != nil {
+ err2 = p.handler.ProcessError(err2)
関連する問題
- 1. Asp.Net 4.0で認証と承認を実装する方法は?
- 2. アプリケーションで承認を処理する方法は?
- 3. C#windowsアプリケーションで認証と承認を行う方法は?
- 4. OpenX XMLRPC認証/セッションの処理方法
- 5. アンドロイドアプリでドメイン認証を処理する方法は?
- 6. AVURLAssetでHTTP基本認証を処理する方法は?
- 7. WCFカスタム認証で例外を処理する方法は?
- 8. HttpWebRequest.AllowAutoRedirectで認証を処理する方法は?
- 9. AngularJSでロールベースの認証を処理する方法は?
- 10. スプリング認証プロバイダVS認証処理フィルタ
- 11. Webフレームワークの承認処理
- 12. AngularJSの認証と承認
- 13. Asp.netユーザー認証と承認
- 14. JSP - 認証と承認
- 15. EJB:カスタム認証と承認
- 16. 認証と承認WEBAPI
- 17. ポップアップ認証を処理する方法は?
- 18. IEで基本認証を処理する方法
- 19. httplib2での認証とプロキシサーバの処理
- 20. ASP.NETでのユーザー承認の処理
- 21. SilverLight 4とWPFアプリケーションの両方でWCF認証を処理する方法
- 22. RestKit認証失敗を処理する方法
- 23. AppEngine WebService認証処理
- 24. 認証を処理するノードRssモジュール
- 25. Play 2認証と承認モジュール
- 26. ASP.NET Web APIの承認と認証
- 27. フォーム認証と承認MVC 4
- 28. 自動認証を使わずにログイン認証のポップアップを処理する方法は?
- 29. iosアプリケーションでのGoogle認証後の処理方法
- 30. ember.jsアプリケーションでの認証の処理方法
デフ生成しましたか? – JensG
@ JensGいいえ、暗号化された形式でパスワードを送信し、エンコードされた文字列をサーバー側でチェックしたいと考えています。ワイヤを介して送られた文字列が格納された文字列と正確には一致しないかもしれないが、bcryptアルゴリズムを使ってチェックされても、それでも有効である可能性があるので、Bcryptはこれに適している。 –
この場合、クリアテキストのパスワードは送信されませんが、ハッシュされたパスワードを攻撃者が読み取ることができれば、認証コールを再生してサービスにアクセスすることができます。 – cjungel