我正在爲一個封閉的用戶組編寫一個webaplication。它將僅用於https。服務器應該檢查用戶是否被允許通過檢查用戶SSL證書來訪問服務器。我寧願只有一個白名單(在userprofile中具有用戶證書的前場),而不是由我的CA簽署他們的密鑰。由於沒有用戶/密碼,內容將取決於客戶提供的證書。我知道我只能提供列表他們的證書給Apache/nginx,但我不喜歡這個解決方案,因爲我需要將這個列表保存在兩個地方:apache(access/deny)和django:auth middleware (內容取決於提供的證書)。維護這可能是一場噩夢。通過django中的ssl證書進行用戶身份驗證
有沒有其他的方法可以做到這一點?也許我應該讓django接受ssl的東西?
我創建了一個Django的模塊,對於這一點,在MIT許可證上可用的實施github。 基本上辦法是讓:
User模型。首先 - 您談論兩種完全不同的使用證書的方法。如果您使用來自CA的服務器簽名證書,那麼用戶將在加載頁面之前進行身份驗證(創建安全通道時),並且您將知道他們是誰。您提到的另一種方式 - 將用戶證書存儲在UserProfile中 - 是否存儲私人證書?這遠離安全的方法。您希望保留在用戶配置文件中的哪些內容可以用於驗證目的?如果你從UserProfile中讀取這個東西,那麼用戶將如何進行真正的身份驗證?使用用戶名+密碼?那麼在配置文件中證書的目的是什麼?
我不會在Django做SSL事情。處理此問題的更好方法是事後使用HTTP標頭將所有SSL內容保留在Apache中。您向用戶頒發證書,將其添加到瀏覽器中,並在連接到站點時 - Django檢查證書並提取與請求關聯的用戶名。然後將此用戶名作爲HTTP標頭傳遞給Django應用,例如HTTP_USER_NAME = some_user。同時確保Apache從客戶端的請求中去除所有這些頭文件。然後,你的Django應用程序不應該做任何事情 - 它將依靠Apache已經完成了AUTH作業並將獲得用戶名。 (這對Nginx來說工作正常,儘管我沒有在Apache中使用它 - 我沒有看到它不應該有可能的原因,也許你需要一些額外的Apache mod來安裝)。
所以這種方法的唯一缺點是,你可能不得不做一些手動的工作,簽署/發送證書給用戶,但如果這不是一個頻繁的重複操作,似乎是安全的回報它提供。
UPDATE:下面是一個例子,如何做SSL身份驗證Apache中: http://www.zeitoun.net/articles/client-certificate-x509-authentication-behind-reverse-proxy/start 和nginx的: http://forum.nginx.org/read.php?5,226319
是否可以使用燒瓶進行客戶端認證? – nishi 2014-04-24 08:45:30
我有一個django應用程序,客戶端有他們的數字證書在USB棒如何閱讀他們的證書與Django – 2016-09-12 13:20:53