Odoo接入CAS统一认证系统

最新推荐文章于 2024-01-02 20:14:24 发布
最新推荐文章于 2024-01-02 20:14:24 发布
阅读量1k 收藏
点赞数
文章标签: 服务器 运维 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014608376/article/details/121705401
版权

背景:

CAS介绍:

CAS ( Central Authentication Service ),最初由耶鲁大学的Shawn Bayern
开发,后由Jasig社区维护,经过十多年发展,目前已成为影响最大、广泛使用的、基于Java实现的、开源SSO解决方案。cas旨在为 Web应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。 CAS 开始于 2001 年, 并在 2004 年 12 月正式成为JA-SIG 的一个项目。

CAS原理:

在这里插入图片描述
cas单点登录流程理解:

  1. 浏览器请求cas客户端(接入cas的系统)时,cas客户端对当前请求浏览器校验是否存在session(odoo系统中则校验当前cookie是否存在session_id值,根据session_id值判断/data/sessions文件夹内是否存在对应session。如启用redis管理session,则在redis中查询是否存在对应session_id的数据判断是否登录)。
  2. 如校验无登录cas客户端,则返回重定向到cas服务器。链接形如:https://localcas:8443/cas/login?service=http%3A%2F%2F192.168.99.102%3A8069%2Fweb%2Flogin。
    其中https://localcas:8443/cas/login为cas服务器登录地址,service参数值为cas客户端登录地址
  3. 通过用户名密码登录cas认证系统,认证成功后携带ticket参数重定向到cas客户端登录 地址,形如:
    http://192.168.99.102:8069/web/login?ticket=ST-17-3hA0-atfanDFWw4beSnHodOdMCY-DESKTOP-RAY
  4. 浏览器请求重定向地址到cas客户端。
  5. cas客户端获取请求参数ticket,并携带ticket参数请求cas服务端换取用户。
  6. 成功获取用户名则创建session,设置cookie值。让浏览器重定向到cas客户端系统首页。
  7. 没有成功获取用户名则返回cas服务端登录地址。

PS:CAS认证系统通过cookie值中Jsession_id值判断是否通过CAS认证。

核心代码:

  1. 安装python-cas库
pip install python-cas
  1. 引入cas库 修改controllers里登录的方法
# -*- coding:utf-8 -*-

import cas
import odoo
import random
import werkzeug
import xmltodict
import configparser
from odoo import _
from odoo import http
from odoo.service import security
from odoo.addons.web.controllers import main
from odoo.tools import ustr, consteq, frozendict, pycompat
from odoo.http import request, Response, Root, OpenERPSession


class HomeFLih(main.Home):

    # OA单点登录
    @http.route('/web/login', type='http', auth="none",csrf=False, sitemap=False)
    def web_login(self, redirect=None, **kw):
        if 'logoutRequest' in kw:
            return self.web_logout(redirect=redirect,**kw)
        # 生成CAS客户端类实例
        client = cas.CASClient(
            # CAS 版本 ,V1,V2,V3 版本
            version='3',
            # CAS 服务端登录地址,有get_login_url方法拼接/login 生成
            server_url='https://localcas:8443/cas/',
            # CAS 客户端登录地址
            service_url='http://192.168.99.102:8069/web/login',
            # 是否校验ssl证书
            verify_ssl_certificate=False
        )
        # 判断是否有ticket参数
        if 'ticket' in request.params:
            ticket = request.params.get('ticket','')
            # 请求CAS服务端,使用ticket换取用户名
            res = client.verify_ticket(ticket)
            user_name = res[0]
            if not user_name:
                cas_url = client.get_login_url()
                return werkzeug.utils.redirect(cas_url,303)
            # 写死数据库,仅为demo需要,生产环境可读取配置文件赋值
            request.session.db = 'test'
            users = request.env['res.users'].search([('login','=ilike',user_name)],limit=1)
            request.session['uid'] = users.id if users else False
            request.session['ticket'] = ticket
            request.params['login'] = users.login if users else False
            # 随便赋值,用于cas用户校验逻辑
            request.params['password'] = users.login if users else False
            # 用于cas用户校验逻辑
            request.session.context['CAS_SIGNAL_LOGIN'] = True
            # 未找到用户,报错
            if not users:
                return """<script language="javascript" type="text/javascript">
                                            alert('""" + _('The username %s is not found,Plz contact the admin!')%(user_name) + """');
                                            window.opener=null;
                                            window.open("", "_self");
                                            window.close();
                                         </script>"""
            uid = request.session.authenticate(request.session.db, request.params['login'],
                                               request.params['password'])

            if uid is not False:
                request.uid = uid
            return http.redirect_with_hash('/web')
        else:
            cas_url = client.get_login_url()
            return werkzeug.utils.redirect(cas_url,303)

# -*- coding:utf-8 -*-

import logging
from odoo.http import request
from odoo.exceptions import AccessDenied
from odoo import api, fields, models, tools, SUPERUSER_ID, _

_logger = logging.getLogger(__name__)

# 修改源码密码校验
class ResUsers(models.Model):
    _inherit = 'res.users'

    @classmethod
    def _login(cls, db, login, password, context={}):
        if not password:
            raise AccessDenied()
        ip = request.httprequest.environ['REMOTE_ADDR'] if request else 'n/a'
        try:
            with cls.pool.cursor() as cr:
                self = api.Environment(cr, SUPERUSER_ID, context)[cls._name]
                with self._assert_can_auth():
                    user = self.search(self._get_login_domain(login))
                    if not user:
                        raise AccessDenied()
                    user = user.sudo(user.id)
                    user._check_credentials(password)
                    user._update_last_login()
        except AccessDenied:
            _logger.info("Login failed for db:%s login:%s from %s", db, login, ip)
            raise
        _logger.info("Login successful for db:%s login:%s from %s", db, login, ip)
        return user.id

    @classmethod
    def authenticate(cls, db, login, password, user_agent_env):
        """Verifies and returns the user ID corresponding to the given
          ``login`` and ``password`` combination, or False if there was
          no matching user.
           :param str db: the database on which user is trying to authenticate
           :param str login: username
           :param str password: user password
           :param dict user_agent_env: environment dictionary describing any
               relevant environment attributes
        """
        if user_agent_env and user_agent_env.get('context'):
            uid = cls._login(db, login, password, context=user_agent_env['context'])
        else:
            uid = cls._login(db, login, password)
        if user_agent_env and user_agent_env.get('base_location'):
            with cls.pool.cursor() as cr:
                env = api.Environment(cr, uid, {})
                if env.user.has_group('base.group_system'):
                    # Successfully logged in as system user!
                    # Attempt to guess the web base url...
                    try:
                        base = user_agent_env['base_location']
                        ICP = env['ir.config_parameter']
                        if not ICP.get_param('web.base.url.freeze'):
                            ICP.set_param('web.base.url', base)
                    except Exception:
                        _logger.exception("Failed to update web.base.url configuration parameter")
        return uid

    def _check_credentials(self, password):
        # convert to base_crypt if needed
        if self.env.context.get('CAS_SIGNAL_LOGIN', False):
            return
        else:
            return super(ResUsers, self)._check_credentials(password)

实现效果:
在这里插入图片描述

cas单点登出流程理解:

  1. 客户端主动登出:失效客户端系统session,重定向到CAS服务端登出页面,执行CAS验证系统登出操作。
  2. CAS服务端或其他第三方客户端执行登出:当
    CAS服务端或其他第三方客户端执行登出时,CAS验证系统也执行登出操作。CAS验证系统登出时,将请求第三方系统,将登出用户的ticket传到第三方系统服务端,让第三方执行登出操作。

核心代码:

  1. 修改controllers里登录的方法
# -*- coding:utf-8 -*-

import cas
import odoo
import random
import werkzeug
import xmltodict
import configparser
from odoo import _
from odoo import http
from odoo.service import security
from odoo.addons.web.controllers import main
from odoo.tools import ustr, consteq, frozendict, pycompat
from odoo.http import request, Response, Root, OpenERPSession


class Home(main.Home):
    # OA单点登出
    @http.route('/web/logout', type='http', auth="none",csrf=False, sitemap=False)
    def web_logout(self, redirect=None, **kw):
        logoutRequest = kw.get('logoutRequest','')
        root = xmltodict.parse(logoutRequest)
        ticket = root.get('samlp:LogoutRequest', {}).get('samlp:SessionIndex', '')
        # 搜索odoo session文件,执行登出操作。
        # 循环访问本地session文件效率很低,可改用数据库存储ticket与session_uid关系,或使用radis代替本地文件存储session信息
        for rec in http.root.session_store.list():
           logout_session = http.root.session_store.get(rec)
           if logout_session.get('ticket') == ticket:
               logout_session.logout(keep_db=True)
               http.root.session_store.save(logout_session)
        #        #http.root.session_store.delete(logout_session)
        response = request.make_response('')
        return response

class Session(main.Session):

    @http.route('/web/session/logout', type='http', auth="none")
    def logout(self, redirect='/web'):

        client = cas.CASClient(
            version='3',
            server_url='https://localcas:8443/cas/',
            service_url='http://192.168.99.102:8069/web/login',
            verify_ssl_certificate=False
        )
        request.session.logout(keep_db=True)
        return werkzeug.utils.redirect(client.get_logout_url(client.service_url), 303)

实现效果:
在这里插入图片描述

菠萝派爱睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
odoo10 删除seesion操作,不允许一个账号同时登录
04-24
这个工具是用来防止odoo10的用户同时登录多个,当一个用户在其他浏览器登录,则会删除其他浏览器上的用户。
odoo10设置cookie/session 过期时间/生命周期
haeasringnar的博客
04-27 7059
odoo10设置cookie生命周期为关闭浏览器失效: 修改内容为: (路径:odoo10\odoo\http.py) # 设置cookie的有效期:取消max_age后将开启关闭浏览清除所有cookie,保证安全 if not explicit_session and hasattr(response, 'set_cookie'): response.set_cookie('sess...
odoo10 设置session有效期
haeasringnar的博客
04-27 6445
开发时发现odoo10内有和http.py文件,内部包含一个方法是用来管理session有效期的 代码如下:(路径为:odoo10\odoo\http.py) def session_gc(session_store): if random.random() &lt; 0.001: # we keep session one week last_week...
19.odoo入门——odoo的session
I feel lost
08-15 2961
19———————— 字段级别的权限控制,问了一下最牛逼的大佬,也说没有用过这个东西,折腾了一下也没有找出有效的方法。 所以目前就先重写model的write方法: 既然要重写就必须先看到原来的write函数大概是如何实现的,翻到odoo/model.py中搜索def write函数,可以轻松找到该函数: 源代码很长,不贴,看到注释: :param dict vals
odoo12-redis存储session
u013493751的博客
09-29 1232
推荐使用模块: https://apps.odoo.com/apps/modules/12.0/muk_session_store/ https://apps.odoo.com/apps/modules/12.0/smile_redis_session_store/ 由于我使用的是MUK一系列相关模块下面介绍MUK相关会话的存储: 模块具体提供了redis , postgres 对于会话的...
odoo开发笔记 -- 提高访问安全性的一种方式
weixin_30300523的博客
09-17 113
场景描述: 最近在做项目的过程中,需要需要将odoo应用集成到其他系统中, 在对方的系统中点击我们的应用,打开对应系统,但是界面不做跳转,在当前页面打开,并且浏览器地址栏只显示IP+应用名,不让显示odoo中的action_id及menu_id等其他信息! 如何实现? 我们先来看下,odoo程序我们在浏览器访问时,通常的地址栏信息:IP+端口/web.........各种id ...
Odoo|2步轻松解决session过期问题
在数字化道路无限探索
03-14 994
Odoo中session过期问题的处理
odoo16--接口controller编写小白教程--登录验证
weixin_43642232的博客
06-08 569
【代码】odoo16--接口controller编写小白教程--登录验证。
odoo17后台启动过程4——odoo.http.root
最新发布
jiafeitutu的博客
01-02 488
odoo17后台启动过程4——odoo.http.root
Cookie&Session
weixin_44319497的博客
11-14 123
会话技术 1. 会话:一次会话中包含多次请求和响应。 * 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止 2. 功能:在一次会话的范围内的多次请求间,共享数据 3. 方式: 1. 客户端会话技术:Cookie 2. 服务器端会话技术:Session Cookie: 1. 概念:客户端会话技术,将数据保存到客户端 2. 快速入门: * 使用步骤: 1. 创建...
odoo-oauth2:Odoo OAuth2 提供者
05-29
Odoo OAuth2提供程序 该模块提供了用于身份验证的标准API。 您可以注册消费者,并为其分配用户。 然后,利用消费者密钥,机密和用户凭据的知识,您可以进行身份​​验证并可以访问资源。 提供 /auth/token/ 认证接口 去做 客户端验证 令牌刷新 应用程序的API 用法 from openerp . addons import oauth2 session = oauth2 . get_session ( "token" )
cas统一身份认证sso
01-29
统一身份认证CAS配置实现 SSO单点登录Spring-Security+&+CAS+使用手册 统一身份认证CAS配置实现 CAS登录验证(密码MD5、SHA加密后_再进行Base64加密实现代码)_与Liferay的用户身份验证对应
odoo物料编码管理系统.zip
07-20
编码规则: 1 -- 完成品 01 -- 整机 01 -- 完全外采 最后组成的编码:10101+五位流水号 2 -- 半成品 和一类似 3 -- 原材料 和一类似
odooDingTalk:Odoo系统集成钉钉
03-11
Odoo14系统集成钉钉 介绍 本项目是一套基于Odoo平台的开源的一个集成阿里钉钉应用,主要应用功能包括基础数据同步,考勤数据同步,消息,智能人事等 博客: : 在使用本模块前,请先将钉钉中你创建的E应用或微应用...
OdooHotelManagementSystem:基于Odoo的酒店管理系统
03-11
OpenERP / Odoo酒店管理系统蛇咨询服务列兵。 Ltd.提供高效的OpenERP / ODOO酒店管理软件,该软件包括用于各种酒店运营的前台管理系统,并且涵盖针对酒店运营的许多其他方面的全面的OpenERP解决方案,包括CRS(中央...
Odoo通过PostMan进行Post以及Get方法
11-17
文件中包含详细的调用方法以及相关源码 可通过PostMan测试Odoo接口调用相关功能,写的非常详细
ODOO 15 安装包,WINDOWS操作系统下直接安装配置,一键安装
07-01
ODOO 15安装包-WINDOWS下直接安装
Odoo(OpenERP) Session有效期
Just do IT
10-28 4967
在openerp目录下的http.py文件中,有个session_gc()方法,此方法定义了session清理的逻辑。方法如下:
Cookie丶Session
云别
09-18 371
会话技术 1. 会话:一次会话中包含多次请求和响应。 * 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止 2. 功能:在一次会话的范围内的多次请求间,共享数据 3. 方式: 1. 客户端会话技术:Cookie 2. 服务器端会话技术:Session Cookie: 1. 概念:客户端会话技术,将数据保存到客户端 * cookie:应用场...
odoo系统 python开发
09-02
Odoo是一种基于Python开发的企业管理软件系统,它提供了一整套集成的应用程序,包括销售、采购、库存管理、会计、人力资源管理、生产制造等多个模块。其主要特点是开源、灵活、可定制和易于使用。 Odoo系统使用了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值