通过django中的ssl证书进行用户身份验证
我正在为一个封闭的用户组编写一个webaplication。它将仅用于https。服务器应该检查用户是否被允许通过检查用户SSL证书来访问服务器。我宁愿只有一个白名单(在userprofile中具有用户证书的前场),而不是由我的CA签署他们的密钥。由于没有用户/密码,内容将取决于客户提供的证书。我知道我只能提供列表他们的证书给Apache/nginx,但我不喜欢这个解决方案,因为我需要将这个列表保存在两个地方:apache(access/deny)和django:auth middleware (内容取决于提供的证书)。维护这可能是一场噩梦。通过django中的ssl证书进行用户身份验证
有没有其他的方法可以做到这一点?也许我应该让django接受ssl的东西?
我创建了一个Django的模块,对于这一点,在MIT许可证上可用的实施github。 基本上办法是让:
- nginx的处理所有的SSL证书&验证的东西
- Django的认证后端的(有效)证书专有名称映射到你用的是什么
User模型。
首先 - 您谈论两种完全不同的使用证书的方法。如果您使用来自CA的服务器签名证书,那么用户将在加载页面之前进行身份验证(创建安全通道时),并且您将知道他们是谁。您提到的另一种方式 - 将用户证书存储在UserProfile中 - 是否存储私人证书?这远离安全的方法。您希望保留在用户配置文件中的哪些内容可以用于验证目的?如果你从UserProfile中读取这个东西,那么用户将如何进行真正的身份验证?使用用户名+密码?那么在配置文件中证书的目的是什么?
我不会在Django做SSL事情。处理此问题的更好方法是事后使用HTTP标头将所有SSL内容保留在Apache中。您向用户颁发证书,将其添加到浏览器中,并在连接到站点时 - Django检查证书并提取与请求关联的用户名。然后将此用户名作为HTTP标头传递给Django应用,例如HTTP_USER_NAME = some_user。同时确保Apache从客户端的请求中去除所有这些头文件。然后,你的Django应用程序不应该做任何事情 - 它将依靠Apache已经完成了AUTH作业并将获得用户名。 (这对Nginx来说工作正常,尽管我没有在Apache中使用它 - 我没有看到它不应该有可能的原因,也许你需要一些额外的Apache mod来安装)。
所以这种方法的唯一缺点是,你可能不得不做一些手动的工作,签署/发送证书给用户,但如果这不是一个频繁的重复操作,似乎是安全的回报它提供。
UPDATE:下面是一个例子,如何做SSL身份验证Apache中: http://www.zeitoun.net/articles/client-certificate-x509-authentication-behind-reverse-proxy/start 和nginx的: http://forum.nginx.org/read.php?5,226319
是否可以使用烧瓶进行客户端认证? – nishi 2014-04-24 08:45:30
我有一个django应用程序,客户端有他们的数字证书在USB棒如何阅读他们的证书与Django – 2016-09-12 13:20:53