django 实现统一登录（未完待续）

django 实现统一登录

前言
公司的各种运维平台、工具越来越多，搞得用户需要记住不同平台不同的密码，当然，用户可以选择各个平台都使用一个密码，奈何我身后坐着一个超烦的安全，天天瞎搞。忍无可忍，终于要祭出大招。搞一把统一登录。

---

前期需求分析，及技术调研

其实就是看看能不能找到可以直接拿来抄的。 不要重复造轮子么。
找啊找啊找啊找。对比了不同统一登录的实现方式，或简单、或复杂。但是都不太适用。

1. 实现方式一，共享session。
   大致说的就是把cookie 跨域，然后同域的去拿这个cookie找服务端的session，如果session 是有效，那么就登录成功，当然，服务端的session 也得共享一下，而且格式还得保持统一。
   这样不好不好，刚有这个想法，就被后面的大傻个安全给否了，说那你的一个站瘫痪了，其他的不就玩完了。
2. 实现方式二，跳转验证。
   大致就是子系统登录时，把要访问的地址信息啥的通过加密后的token，作为参数去请求统一登录，然后统一登录解密token发现里面包含的信息啥的是对的，登录成功后，然后就把用户的信息和其他的一些玩意返回给子系统，子系统直接login就ok了。
   这种方式感觉可搞，后面的大傻个也挑不出毛病。

最后找到两个轮子
django-sso-simple
django-auth-ldap

具体需求实现

论如何更好的组装轮子

1. 集成ldap 登录

# 新建一个django项目，安装两个轮子，创建一个app

# 配置settings 
AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'django_auth_ldap.backend.LDAPBackend',
)
#在认证后端要加上ldap认证，当然加前加都可以，用户认证的时候是会按照顺序认证的，认证成功就返回，如果都失败了，那么就失败了。 

import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType, PosixGroupType, LDAPGroupQuery
# 这些意思就是配置ldap基础信息，同步那些用户信息到django的user里去。
AUTH_LDAP_SERVER_URI = "ldap://xxx.com:389"
AUTH_LDAP_USER_DN_TEMPLATE = "uid=%(user)s,ou=People,dc=xxx,dc=com,dc=cn"
AUTH_LDAP_USER_ATTR_MAP = {
    "username": "uid", "first_name": "cn",
}
AUTH_LDAP_ALWAYS_UPDATE_USER = True


# posixGroup
# 下面是同步用户组到django的用户组中去。
AUTH_LDAP_GROUP_SEARCH = LDAPSearch('ou=group,dc=xxx,dc=com,dc=cn', ldap.SCOPE_SUBTREE,"(objectClass=posixGroup)")
# 这个type 很重要，各位看客注意自己的ldap 组是什么类型
AUTH_LDAP_GROUP_TYPE = PosixGroupType()


# 同步ldap的用户组到用户信息里去，比如dev 或者研发组的 用户就是激活的.
AUTH_LDAP_FIND_GROUP_PERMS = True
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    "is_active":
        LDAPGroupQuery("cn=dev,ou=group,dc=xxx,dc=com,dc=cn") |
        LDAPGroupQuery("cn=ops,ou=group,dc=xxx,dc=com,dc=cn")

    "is_staff": "cn=ops,ou=group,dc=xxx,dc=com,dc=cn",
    "is_superuser": "cn=admin,ou=group,dc=xxx,dc=com,dc=cn"
}
AUTH_LDAP_CACHE_GROUPS = True
AUTH_LDAP_GROUP_CACHE_TIMEOUT = 3600
AUTH_LDAP_MIRROR_GROUPS = True

# 以上配置完成之后可以接入ldap验证一下。
# 如果有问题的直接看django-ldap-auth 文档就好啦。

1. sso 实现

# django的登录，还是那个登录
def sso_login(request):
    """
    登录成功后要设置用户信息到session 中去 。
    """
    if request.method == 'GET':
        if request.user.is_authenticated:
            return HttpResponseRedirect(redirect_url)
        return render(request, 'login.html')
    else:
        username = request.POST.get('username')
        password = request.POST.get('password')
        next_url = request.GET.get('next', None)
        user = authenticate(username=username, password=password)
        if user:
            ret = login(request, user)
            if not next_url:
                return HttpResponseRedirect(redirect_url)
            else:
                return HttpResponseRedirect(next_url)
        else:
            error_message = '用户名或密码错误'
            return render(request, 'login.html', locals())

url 路由部分 需要include sso的url

# server 比较关键
sso_server = SSOServer()
urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^success/', success,name="success"),
    url(r'^logout/', sso_logout,name="logout"),
    url(r'^ssologin', sso_login,name="ssologin"),
    url(r'^server/', include(sso_server.get_urls())),
    url(r'^$', sso_login,name="ssologin"),
]

以下其实就是django-sso