Как обрабатывать аутентификацию и авторизацию с помощью?

Question

Как обрабатывать аутентификацию и авторизацию с помощью?

Я разрабатываю систему, которая использует бережливость. Я хотел бы, чтобы личность клиента проверялась, а операции - ACLed. Предоставляет ли Thrift какую-либо поддержку?

19

authentication authorization rpc thrift

Источник

user298622 07 янв '11 в 01:24

3 ответа

Другие вопросы по тегам authentication authorization rpc thrift

user30478 21 янв '11 в 12:15 2011-01-21 12:15 · Answer 1 · 2011-01-21 12:15

Не напрямую. Единственный способ сделать это - иметь метод аутентификации, который создает (временный) ключ на сервере, а затем изменить все ваши методы так, чтобы первым аргументом был этот ключ, и все они дополнительно вызывают ошибку, не связанную с аутентификацией. Например:

exception NotAuthorisedException {
    1: string errorMessage,
}

exception AuthTimeoutException {
    1: string errorMessage,
}

service MyAuthService {
    string authenticate( 1:string user, 2:string pass )
        throws ( 1:NotAuthorisedException e ),

    string mymethod( 1:string authstring, 2:string otherargs, ... )
        throws ( 1:AuthTimeoutException e, ... ),
}

Мы используем этот метод и сохраняем наши ключи в защищенном экземпляре memcached с 30-минутным тайм-аутом для ключей, чтобы все было "быстро". Клиенты, которые получают AuthTimeoutException ожидается повторная авторизация и повторная попытка, и у нас есть некоторые правила брандмауэра, чтобы остановить атаки методом перебора.

user499466 25 авг '13 в 13:15 2013-08-25 13:15 · Answer 2 · 2013-08-25 13:15

Такие задачи, как авторизация и разрешения, не рассматриваются как часть Thrift, главным образом потому, что эти вещи (как правило) больше связаны с логикой приложения, чем с общей концепцией RPC/ сериализации. Единственное, что Thrift поддерживает прямо из коробки, это TSASLTransport, Я не могу много сказать об этом сам, просто потому, что я никогда не чувствовал необходимости использовать его.

Другим вариантом может быть использование THeaderTransport который, к сожалению, на момент написания реализован только с C++. Следовательно, если вы планируете использовать его на каком-либо другом языке, вам, возможно, придется инвестировать некоторую дополнительную работу. Излишне говорить, что мы принимаем вклады...

user999881 03 июн '17 в 14:01 2017-06-03 14:01 · Answer 3 · 2017-06-03 14:01

Немного поздно (наверное, очень поздно), но я изменил исходный код Thrift для этого пару лет назад.

Просто отправил тикет с патчем на https://issues.apache.org/jira/browse/THRIFT-4221 только для этого.

Посмотрите на это. По сути, предложение заключается в добавлении хука "BeforeAction", который делает именно это.

Пример сгенерированного Голанга diff

+       // Called before any other action is called
+       BeforeAction(serviceName string, actionName string, args map[string]interface{}) (err error)
+       // Called if an action returned an error
+       ProcessError(err error) error
 }

 type MyServiceClient struct {
@@ -391,7 +395,12 @@ func (p *myServiceProcessorMyMethod) Process(seqId int32, iprot, oprot thrift.TP
        result := MyServiceMyMethodResult{}
        var retval string
        var err2 error
-       if retval, err2 = p.handler.MyMethod(args.AuthString, args.OtherArgs_); err2 != nil {
+       err2 = p.handler.BeforeAction("MyService", "MyMethod", map[string]interface{}{"AuthString": args.AuthString, "OtherArgs_": args.OtherArgs_})
+       if err2 == nil {
+               retval, err2 = p.handler.MyMethod(args.AuthString, args.OtherArgs_)
+       }
+       if err2 != nil {
+               err2 = p.handler.ProcessError(err2)