【网盘项目日志】20210407:Seafile OAuth逻辑研究 & WebDAV与统一认证整合思路

最新推荐文章于 2023-02-13 17:21:48 发布
最新推荐文章于 2023-02-13 17:21:48 发布
阅读量954 收藏
点赞数
分类专栏: 山东大学网盘开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rentenglong2012/article/details/115496279
版权

大概研究了一下 Seafile 的认证机制,包括SSO相关的认证机制,在这里主要进行一下研究成果的整合。

阶段1: 将 Seafile 发布到公网并接入 Github OAuth

为了方便对系统进行研究,我首先按照文档将Github OAuth第三方认证系统接入了自己在电脑上的Seafile系统,这个过程有些坎坷。

由于 Github 限制,接入 OAuth 的系统必须是对公网可访问的。

为了最大限度减小部署过程所产生的文件迁移,包括尽可能降低在调试过程中可能出现的与代码修改相关的问题,我决定通过 SSH 反向代理的方式,将开发机器上已经部署好的 Seafile 系统端口映射到一台现有的公网服务器上,这样即可实现公网访问,满足 Github OAuth 的要求。

首先在公网机器上,开启对应端口:

ufw allow 8000

然后在腾讯云管理端,在安全组中开放 8000 端口。

然后在客户端执行命令:

ssh [USER]@[IP] -R 8000:8000

这条命令可以将本地的 8000 端口服务放到公网电脑的 8000 端口接受服务。

但是经过上述命令部署后,访问网页,得到回复:Connection Refused。查看本机服务运行 log,发现根本没有访问请求。

为了排查是 公网 --> 公网机器8000端口 的问题,还是反向代理的问题,我在公网机器上执行了一下指令:

curl localhost:8000

能够得到正确回复,并且本机的 log 也有了 302 跳转记录。也就是说,本机的 8000 端口已经成功映射到外网机器端口,但是似乎是外网机器的 8000 端口并没有对外开放。

经过资料查找发现,默认状态下 SSH 不允许在连接过程中自定义服务端开放的端口号。必须在 /etc/ssh/sshd_config 文件中添加以下语句:

GatewayPorts clientspecified

然后运行命令:

sudo reload sshd

才能够允许客户端指定服务端的开放端口。

再次访问公网机器的 8000 端口,可以在浏览器中看到登录页面,部署成功。

之后,按照 Github OAuth 和 Seafile 所给出的文档,分别向 Github 申请 OAuth 接口,并将对应参数填入 Seafile 配置文件中,完成系统接入。

阶段2: 研究 Seafile OAuth 的认证路线

首先访问 Seafile 的单点登录界面,可以看到:地址栏的地址是 /oauth/*,根据 urls.py 文件中的描述,找到对应的模块:
在这里插入图片描述
可以看到,一共有两个 URL,分别对应了登录动作和回调动作。

粗略观察发现,其中的 callback 模块主要用于获取来自 Github 的认证信息,并与本地用户建立映射。

可以看到,OAuth/views.py 的第170行,调用了 auth.authenticate() 方法:
在这里插入图片描述
根据以往的研究可知,authenticate() 方法将会读取填写在 settings.py 文件中的 AUTHENTICATION_BACKENDS 列表,并加载相应的类进行处理:
在这里插入图片描述
但是问题来了,这里只能看到一个 AuthBackend,然而进入其中的 authenticate()方法,却发现其参数列表与我们上面调用的并不相同:
在这里插入图片描述
并且,这里面也并没有提到自动建立用户的逻辑,这让我感到很奇怪,经过一些研究也并没有找到问题。偶然间,我发现 Django 能够记录其认证过程所涉及到的 Backend 具体信息,于是我在调用 authenticate() 方法的地方加入了 print(user.backend) 语句,然后发现了输出:

seahub.oauth.backends.OauthRemoteUserBackend

真奇怪,明明在 settings.py 文件中只有一个 seahub.base.accounts.AuthBackend,怎么会冒出第二个来?抱着疑问,我开启了目录搜索,将关键字设置为 OauthRemoteUserBackend,然后,一条搜索结果愉快的出现在了我的面前:
在这里插入图片描述
我丢雷楼谋啊!谁家写补充代码这么写的?有毒哇。。。。

总之,找到了对应的 Backend,自然也就能够摸清楚其建立用户的原理了:

在这里插入图片描述
看,先根据 username 获取到用户信息,然后判读是否存在,如果不存在就直接创建新的。同时还发现,由 OAuth 产生的用户是没有密码的:
在这里插入图片描述
那么这样也就催生出了第三个问题:如何完成 WebDAV 所需的认证?

阶段3: 提出 WebDAV 的解决方案

针对刚刚的问题,我们必须想出合适的认证方案,使得 WebDAV 依然能够通过内建的用户名密码输入模式来完成认证。以下是我想到的三种方案:

  1. 由 WebDAV 服务向 OAuth 认证服务器发送 API 请求,直接将用户名密码发送到 OAuth 认证服务器认证,不与 Seafile-Server 连接。完成认证后,再向 Seafile-Server 索要相关用户信息
  2. 由 Seafile-Server 服务向 OAuth 认证服务器发送 API 请求,直接从最底层改变认证模式
  3. 在新用户通过 OAuth 登录后,强制要求用户设置密码,从而将用户变为一个带有密码的合法普通用户
AdemJensen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth2.0_mysql_demo.rar
10-23
oauth2.0认证例子,使用Mysql数据库,重写IdentityUser,可自定义用户权限。 可做EF框架之CodeFirst开发模式小例子参考,修改web.config连接字符串,运行程序可生成数据库及表结构。
【山大智云项目日志】(九)源码分析之seahub-extra单点登录
weixin_45816464的博客
11-21 517
2021SC@SDUSC
单点登录(SSO)简介
MichaelAn的博客
02-13 533
单点登录(SSO)简介 2021-11-03 原始链接:https://www.jianshu.com/p/75edcc05acfd Michael 笔记: 1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放...
webdav使用mysql_如何设置WebDAV与MySQL认证在Apache2(Debian Lenny)
weixin_33048525的博客
01-19 261
如何在Apache2(Debian Lenny)上使用MySQL身份验证设置WebDAV版本1.0作者:Falko Timme本指南介绍如何在Debian Lenny服务器上的Apache2上使用MySQL身份验证(使用mod_auth_mysql)设置WebDAVWebDAV代表基于Web的分布式创作和版本控制 ,是HTTP协议的一组扩展,允许用户直接编辑Apache服务器上的文件,以便不...
WebDAV介绍
neu_solskjaer的专栏
10-15 2294
概述    随着对 Internet 标准和络互操作性的日益关注,作为 HTTP 1.1 的扩展,WebDAV(Web 分布式创作和版本控制)已经成为重要的 Web 通讯协议(有关详细信息,请参阅 IETF RFC 2616)。 WebDAV 规范(有关详细信息,请参阅 IETF RFC 2518)在 1999 年 2 月由 Internet 工程任务组 (IETF) 发布,这中间有 Micro
java源码:豆瓣OAuth认证示例项目.rar
10-13
java源码:豆瓣OAuth认证示例项目.rar
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架
06-08
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架。并根据不同的应用场景提供不同的实现(如web场景,移动设备).
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架实现
最新发布
01-12
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架实现.并根据不同的应用场景提供不同的实现(如web场景,移动设备).该项目与spring-oauth-server实现相同的需求与场合. 只是在实现上使用的技术不同(spring-...
oauth2-client:与OAuth 2.0服务提供商轻松集成
02-05
OAuth 2.0登录流程,通常在络上以“与Facebook / Google /等连接”形式出现。 按钮,是添加到Web应用程序中的常见集成,但是正确操作可能很棘手且乏味。 为了帮助您,我们创建了league/oauth2-client程序包,该...
论文研究-Android系统上基于OAuth的身份认证统一授权系统设计与实现 .pdf
08-16
Android系统上基于OAuth的身份认证统一授权系统设计与实现,尹颜丽,黄玮,为了提高Android系统上用户身认证授权的安全性以及便捷性,本文一方面参考了OAuth协议的诸多优点,另一方面在此协议基础上根据具体需
单点登录(SSO)看这一篇就够了
weixin_33725807的博客
09-06 3528
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 ...
webdav使用mysql_如何设置WebDAV与MySQL认证Apache2(Debian Etch)
weixin_39531635的博客
02-11 127
如何使用Apache2(Debian Etch)上的MySQL认证设置WebDAV版本1.0作者:Falko Timme本指南介绍如何在Debian Etch服务器上的Apache2上使用MySQL身份验证(使用mod_auth_mysql)设置WebDAVWebDAV代表基于Web的分布式创作和版本控制 ,是HTTP协议的一组扩展,允许用户直接编辑Apache服务器上的文件,以便不需要通过...
WebDAV携带认证信息的问题
weixin_33743248的博客
03-14 542
前面的文章SharePoint Explorer View中介绍过, 在你的SharePoint应用中, 如果使用Explorer View, 有可能会使用到Web-based Distributed Authoring and Versioning协议, 简称WebDAV协议, 另一种可能就是FrontPage Server Extension Remote Procedure Call 协议,...
Seafile开启WebDAV服务,用于Joplin笔记同步
lcl101的博客
07-11 2429
最近发现一款开源的笔记本软件Joplin,自己用了几天发现真的挺方便的,还可以配合浏览器插件一起使用,真的是一件记笔记的神器。最早自己是使用熊掌记来记笔记的,但想使用他的同步服务,每月需要交$1.49,不是很划算。后来自己开始玩服务器,搭建了自己的NAS,自己搭建了seafile文件服务器,本地使用Typora来记笔记,文件直接挂载在seafile同步文件夹下边,也算实现各个设备之间的同步使用,不过感觉不是很完美。现在开始使用了Joplin,在真正实现完美的笔记同步。 这篇文章主要记录下,自己如何实现Sea
java调用Seafile的部分接口
siqiangming的博客
06-28 5502
由于Seafile的接口全部是英文,本人十分不适应,使用的时候做了一份记录。 Seafile Web API 一、APIBasics(api 基础) http://192.168.62.128:8000/   服务器地址 1、All API calls must beauthenticated with a valid Seafile API key. 所有的API调用必须验证有效
微信oauth慢的原因
wang_quan_li的专栏
12-23 1123
填写appsecret时把后面的空格也复制了,开发的程序没有自动取消前后空格就直接保存了,导致微信一直在请求
seafile 部署_Seafile开启webdav及读写性能测试
weixin_28984915的博客
12-29 2125
为什么要在seafilewebdavSeafile 一直是一款可靠的文件同步web应用,经过个人测试,同一台机器上,seafile在传输文件时的速度比nextcloud要快(可能也与php的设置有关系),这是seafile的优势。但是,seafile在做架构时,将传进来的文件进行了分块处理,并将信息写入数据库,所以在硬盘上,你无法直接访问自己上传的文件,这可有点不方便。要解决该问题,其中一个方法...
Seafile学习系列(三) 配置ADFS
u011495642的博客
03-02 1452
SSL证书:SSL是一种安全协议,SSL证书是在客户端浏览器和服务器之间建立一条SSL安全通道,SSL证书只是表面服务器身份的。服务器必须有SSL证书(单向认证),有时候也需要客户端有SSL证书(双向认证)。SP是sevice provider,IdP是identity Provider。配置步骤如下:首先获取两个sp和Idp服务器的SSL证书,准备ldp元数据文件。配置Seahub_settin...
独立的统一认证系统如何与其他项目集成
06-10
独立的统一认证系统可以通过以下方式与其他项目集成: 1. OAuth 2.0 授权码模式 使用 OAuth 2.0 授权码模式,您可以将认证系统和其他应用程序进行集成。该模式涉及到两个步骤:授权和令牌请求。 授权步骤需要用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值