jumpserver/apps/authentication/signal_handlers.py

from importlib import import_module

from django.conf import settings
from django.contrib.auth import user_logged_in
from django.core.cache import cache
from django.dispatch import receiver
from django_cas_ng.signals import cas_user_authenticated

from authentication.backends.oidc.signals import (
    openid_user_login_failed, openid_user_login_success
)
from authentication.backends.saml2.signals import (
    saml2_user_authenticated, saml2_user_authentication_failed
)
from .signals import post_auth_success, post_auth_failed


@receiver(user_logged_in)
def on_user_auth_login_success(sender, user, request, **kwargs):
    # 失效 perms 缓存
    user.expire_rbac_perms_cache()

    # 开启了 MFA，且没有校验过, 可以全局校验, middleware 中可以全局管理 oidc 等第三方认证的 MFA
    if settings.SECURITY_MFA_AUTH_ENABLED_FOR_THIRD_PARTY \
            and user.mfa_enabled \
            and not request.session.get('auth_mfa'):
        request.session['auth_mfa_required'] = 1

    # 单点登录，超过了自动退出
    if settings.USER_LOGIN_SINGLE_MACHINE_ENABLED:
        lock_key = 'single_machine_login_' + str(user.id)
        session_key = cache.get(lock_key)
        if session_key and session_key != request.session.session_key:
            session = import_module(settings.SESSION_ENGINE).SessionStore(session_key)
            session.delete()
        cache.set(lock_key, request.session.session_key, None)

    # 标记登录，设置 cookie，前端可以控制刷新, Middleware 会拦截这个生成 cookie
    request.session['auth_session_expiration_required'] = 1


@receiver(openid_user_login_success)
def on_oidc_user_login_success(sender, request, user, create=False, **kwargs):
    request.session['auth_backend'] = settings.AUTH_BACKEND_OIDC_CODE
    post_auth_success.send(sender, user=user, request=request)


@receiver(openid_user_login_failed)
def on_oidc_user_login_failed(sender, username, request, reason, **kwargs):
    request.session['auth_backend'] = settings.AUTH_BACKEND_OIDC_CODE
    post_auth_failed.send(sender, username=username, request=request, reason=reason)


@receiver(cas_user_authenticated)
def on_cas_user_login_success(sender, request, user, **kwargs):
    request.session['auth_backend'] = settings.AUTH_BACKEND_CAS
    post_auth_success.send(sender, user=user, request=request)


@receiver(saml2_user_authenticated)
def on_saml2_user_login_success(sender, request, user, **kwargs):
    request.session['auth_backend'] = settings.AUTH_BACKEND_SAML2
    post_auth_success.send(sender, user=user, request=request)


@receiver(saml2_user_authentication_failed)
def on_saml2_user_login_failed(sender, request, username, reason, **kwargs):
    request.session['auth_backend'] = settings.AUTH_BACKEND_SAML2
    post_auth_failed.send(sender, username=username, request=request, reason=reason)
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
+								from importlib import import_module
 								from django.conf import settings
 								from django.contrib.auth import user_logged_in
 								from django.core.cache import cache
-												[Update] 修改小问题 (#2100)

* [Update] 不修改admin用户的用户来源

* [Bugfix] 修复Default组织下用户列表会显示所有用户，并查看详情会报错

* [Update] 关闭telnet资产测试可连接性

* [Update] 只有ssh协议资产可测试连接性

											
										
										
											2018-11-27 02:21:47 +00:00
+								from django.dispatch import receiver
-												feat(authentication):将cas认证通过的登录日志记录到系统

											
										
										
											2020-09-14 03:22:45 +00:00
+								from django_cas_ng.signals import cas_user_authenticated
-												[Update] Stash

											
										
										
											2019-02-27 00:45:00 +00:00
-												perf: 优化perm tree, 并添加缓存

											
										
										
											2022-03-08 05:35:40 +00:00
+								from authentication.backends.oidc.signals import (
 								    openid_user_login_failed, openid_user_login_success
 								)
-												feat: 支持saml2协议的单点登录，合并代码 (#7347)

* fix: 支持saml2协议的单点登录

* feat: 支持saml2协议的单点登录，合并代码

Co-authored-by: jiangweidong <weidong.jiang@fit2cloud.com>
											
										
										
											2021-12-09 07:47:21 +00:00
+								from authentication.backends.saml2.signals import (
 								    saml2_user_authenticated, saml2_user_authentication_failed
 								)
-												Dev oidc (#3941)

* [Update] oidc_rp获取token添加headers base64编码

* [Update] 移除对oidc_rp的支持

* [Update] 移除对oidc_rp的支持2

* [Update] 修改OpenID配置（添加新配置项，并对旧配置项做兼容）

* [Update] 移除所有与Keycloak相关的模块

* [Update] 添加jumpserver-django-oidc-rp的使用

* [Update] 更新登录重定向地址(oidc)

* [Update] oidc添加一些配置参数；处理用户登录/创建/更新等信号

* [Update] 修改退出登录逻辑

* [Update] 添加oidc user登录成功的信号机制

* [Update] 修改mfa认证choices内容 (otp => code)

* [Update] 添加OpenID backend password 认证失败信号机制；修改引入common包问题

* [Update] 用户Token/Auth API 校验用户时，传入request参数（解决登录成功日志记录的问题）

* [Update] 添加依赖jumpserver-django-oidc-rp==0.3.7.1

* [Update] oidc认证模块说明
											
										
										
											2020-04-26 12:36:17 +00:00
+								from .signals import post_auth_success, post_auth_failed
-												[Update] 支持 OpenID 认证 (#2008)

* [Update] core支持openid登录，coco还不支持

* [Update] coco支持openid登录

* [Update] 修改注释

* [Update] 修改 OpenID Auth Code Backend 用户认证失败返回None, 不是Anonymoususer

* [Update] 修改OpenID Code用户认证异常捕获

* [Update] 修改OpenID Auth Middleware, check用户是否单点退出的异常捕获

* [Update] 修改config_example Auth OpenID 配置

* [Update] 登录页面添加 更多登录方式

* [Update] 重构OpenID认证架构

* [Update] 修改小细节

* [Update] OpenID用户认证成功后，更新用户来源

* [update] 添加OpenID用户登录成功日志

											
										
										
											2018-11-09 06:54:38 +00:00
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
+								@receiver(user_logged_in)
 								def on_user_auth_login_success(sender, user, request, **kwargs):
-												perf: 优化perm tree, 并添加缓存

											
										
										
											2022-03-08 05:35:40 +00:00
+								    # 失效 perms 缓存
-												perf: 设置默认的角色，系统用户角色添加权限 (#7898)

* perf: 修改 role handler

* perf: 设置默认的角色，系统用户角色添加权限

* perf: authentication 还是放到系统中吧

Co-authored-by: ibuler <ibuler@qq.com>
Co-authored-by: Jiangjie.Bai <32935519+BaiJiangJie@users.noreply.github.com>
											
										
										
											2022-03-17 06:08:16 +00:00
+								    user.expire_rbac_perms_cache()
-												perf: 优化perm tree, 并添加缓存

											
										
										
											2022-03-08 05:35:40 +00:00
-												pref: 优化MFA (#7153)

* perf: 优化mfa 和登录

* perf: stash

* stash

* pref: 基本完成

* perf: remove init function

* perf: 优化命名

* perf: 优化backends

* perf: 基本完成优化

* perf: 修复首页登录时没有 toastr 的问题

Co-authored-by: ibuler <ibuler@qq.com>
Co-authored-by: Jiangjie.Bai <32935519+BaiJiangJie@users.noreply.github.com>
											
										
										
											2021-11-10 03:30:48 +00:00
+								    # 开启了 MFA，且没有校验过, 可以全局校验, middleware 中可以全局管理 oidc 等第三方认证的 MFA
-												feat: 增加系统设置(安全)控制第三方认证用户是否进行MFA认证

											
										
										
											2022-02-08 09:33:18 +00:00
+								    if settings.SECURITY_MFA_AUTH_ENABLED_FOR_THIRD_PARTY \
 								            and user.mfa_enabled \
 								            and not request.session.get('auth_mfa'):
-												feat: sso支持验证mfa

											
										
										
											2021-08-26 07:01:43 +00:00
+								        request.session['auth_mfa_required'] = 1
-												pref: 优化MFA (#7153)

* perf: 优化mfa 和登录

* perf: stash

* stash

* pref: 基本完成

* perf: remove init function

* perf: 优化命名

* perf: 优化backends

* perf: 基本完成优化

* perf: 修复首页登录时没有 toastr 的问题

Co-authored-by: ibuler <ibuler@qq.com>
Co-authored-by: Jiangjie.Bai <32935519+BaiJiangJie@users.noreply.github.com>
											
										
										
											2021-11-10 03:30:48 +00:00
+								    # 单点登录，超过了自动退出
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
+								    if settings.USER_LOGIN_SINGLE_MACHINE_ENABLED:
-												perf: 优化perm tree, 并添加缓存

											
										
										
											2022-03-08 05:35:40 +00:00
+								        lock_key = 'single_machine_login_' + str(user.id)
 								        session_key = cache.get(lock_key)
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
+								        if session_key and session_key != request.session.session_key:
 								            session = import_module(settings.SESSION_ENGINE).SessionStore(session_key)
 								            session.delete()
-												perf: 优化perm tree, 并添加缓存

											
										
										
											2022-03-08 05:35:40 +00:00
+								        cache.set(lock_key, request.session.session_key, None)
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
-												feat: 添加 session guard

											
										
										
											2022-05-18 06:42:54 +00:00
+								    # 标记登录，设置 cookie，前端可以控制刷新, Middleware 会拦截这个生成 cookie
 								    request.session['auth_session_expiration_required'] = 1
-												feat(user):同一个账号仅允许在一台终端设备登录 (#4590)

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

* feat(user):同一个账号仅允许在一台终端设备登录

Co-authored-by: peijianbo <peijainbo3006@163.com>
											
										
										
											2020-09-07 09:42:59 +00:00
-												[Update] 更新OpenID的配置项以及对应的信号监听

											
										
										
											2020-04-28 13:00:22 +00:00
+								@receiver(openid_user_login_success)
-												feat: 添加限制用户只能从source登录的功能 (#5592)

* stash it

* feat: 添加限制用户只能从source登录的功能

* fix: 修复小错误

Co-authored-by: ibuler <ibuler@qq.com>
											
										
										
											2021-02-26 09:33:11 +00:00
+								def on_oidc_user_login_success(sender, request, user, create=False, **kwargs):
-												fix: 修复MFA绑定失败的问题(通过修改session中auth_backend的key实现;django.auth.get_user时校验backends路径失败返回AnonymousUser)

											
										
										
											2021-03-15 09:03:43 +00:00
+								    request.session['auth_backend'] = settings.AUTH_BACKEND_OIDC_CODE
-												Dev oidc (#3941)

* [Update] oidc_rp获取token添加headers base64编码

* [Update] 移除对oidc_rp的支持

* [Update] 移除对oidc_rp的支持2

* [Update] 修改OpenID配置（添加新配置项，并对旧配置项做兼容）

* [Update] 移除所有与Keycloak相关的模块

* [Update] 添加jumpserver-django-oidc-rp的使用

* [Update] 更新登录重定向地址(oidc)

* [Update] oidc添加一些配置参数；处理用户登录/创建/更新等信号

* [Update] 修改退出登录逻辑

* [Update] 添加oidc user登录成功的信号机制

* [Update] 修改mfa认证choices内容 (otp => code)

* [Update] 添加OpenID backend password 认证失败信号机制；修改引入common包问题

* [Update] 用户Token/Auth API 校验用户时，传入request参数（解决登录成功日志记录的问题）

* [Update] 添加依赖jumpserver-django-oidc-rp==0.3.7.1

* [Update] oidc认证模块说明
											
										
										
											2020-04-26 12:36:17 +00:00
+								    post_auth_success.send(sender, user=user, request=request)
-												[Update] 支持 OpenID 认证 (#2008)

* [Update] core支持openid登录，coco还不支持

* [Update] coco支持openid登录

* [Update] 修改注释

* [Update] 修改 OpenID Auth Code Backend 用户认证失败返回None, 不是Anonymoususer

* [Update] 修改OpenID Code用户认证异常捕获

* [Update] 修改OpenID Auth Middleware, check用户是否单点退出的异常捕获

* [Update] 修改config_example Auth OpenID 配置

* [Update] 登录页面添加 更多登录方式

* [Update] 重构OpenID认证架构

* [Update] 修改小细节

* [Update] OpenID用户认证成功后，更新用户来源

* [update] 添加OpenID用户登录成功日志

											
										
										
											2018-11-09 06:54:38 +00:00
-												[Update] 更新OpenID的配置项以及对应的信号监听

											
										
										
											2020-04-28 13:00:22 +00:00
+								@receiver(openid_user_login_failed)
-												Dev oidc (#3941)

* [Update] oidc_rp获取token添加headers base64编码

* [Update] 移除对oidc_rp的支持

* [Update] 移除对oidc_rp的支持2

* [Update] 修改OpenID配置（添加新配置项，并对旧配置项做兼容）

* [Update] 移除所有与Keycloak相关的模块

* [Update] 添加jumpserver-django-oidc-rp的使用

* [Update] 更新登录重定向地址(oidc)

* [Update] oidc添加一些配置参数；处理用户登录/创建/更新等信号

* [Update] 修改退出登录逻辑

* [Update] 添加oidc user登录成功的信号机制

* [Update] 修改mfa认证choices内容 (otp => code)

* [Update] 添加OpenID backend password 认证失败信号机制；修改引入common包问题

* [Update] 用户Token/Auth API 校验用户时，传入request参数（解决登录成功日志记录的问题）

* [Update] 添加依赖jumpserver-django-oidc-rp==0.3.7.1

* [Update] oidc认证模块说明
											
										
										
											2020-04-26 12:36:17 +00:00
+								def on_oidc_user_login_failed(sender, username, request, reason, **kwargs):
-												fix: 修复MFA绑定失败的问题(通过修改session中auth_backend的key实现;django.auth.get_user时校验backends路径失败返回AnonymousUser)

											
										
										
											2021-03-15 09:03:43 +00:00
+								    request.session['auth_backend'] = settings.AUTH_BACKEND_OIDC_CODE
-												Dev oidc (#3941)

* [Update] oidc_rp获取token添加headers base64编码

* [Update] 移除对oidc_rp的支持

* [Update] 移除对oidc_rp的支持2

* [Update] 修改OpenID配置（添加新配置项，并对旧配置项做兼容）

* [Update] 移除所有与Keycloak相关的模块

* [Update] 添加jumpserver-django-oidc-rp的使用

* [Update] 更新登录重定向地址(oidc)

* [Update] oidc添加一些配置参数；处理用户登录/创建/更新等信号

* [Update] 修改退出登录逻辑

* [Update] 添加oidc user登录成功的信号机制

* [Update] 修改mfa认证choices内容 (otp => code)

* [Update] 添加OpenID backend password 认证失败信号机制；修改引入common包问题

* [Update] 用户Token/Auth API 校验用户时，传入request参数（解决登录成功日志记录的问题）

* [Update] 添加依赖jumpserver-django-oidc-rp==0.3.7.1

* [Update] oidc认证模块说明
											
										
										
											2020-04-26 12:36:17 +00:00
+								    post_auth_failed.send(sender, username=username, request=request, reason=reason)
-												feat(authentication):将cas认证通过的登录日志记录到系统

											
										
										
											2020-09-14 03:22:45 +00:00
 								@receiver(cas_user_authenticated)
 								def on_cas_user_login_success(sender, request, user, **kwargs):
-												fix: 修复MFA绑定失败的问题(通过修改session中auth_backend的key实现;django.auth.get_user时校验backends路径失败返回AnonymousUser)

											
										
										
											2021-03-15 09:03:43 +00:00
+								    request.session['auth_backend'] = settings.AUTH_BACKEND_CAS
-												fix: 获得 oidc acs 等认证方式失败

											
										
										
											2020-12-15 10:12:27 +00:00
+								    post_auth_success.send(sender, user=user, request=request)
-												feat: 支持saml2协议的单点登录，合并代码 (#7347)

* fix: 支持saml2协议的单点登录

* feat: 支持saml2协议的单点登录，合并代码

Co-authored-by: jiangweidong <weidong.jiang@fit2cloud.com>
											
										
										
											2021-12-09 07:47:21 +00:00
 								@receiver(saml2_user_authenticated)
 								def on_saml2_user_login_success(sender, request, user, **kwargs):
 								    request.session['auth_backend'] = settings.AUTH_BACKEND_SAML2
 								    post_auth_success.send(sender, user=user, request=request)
 								@receiver(saml2_user_authentication_failed)
 								def on_saml2_user_login_failed(sender, request, username, reason, **kwargs):
 								    request.session['auth_backend'] = settings.AUTH_BACKEND_SAML2
 								    post_auth_failed.send(sender, username=username, request=request, reason=reason)