Kai*_*den 4 authentication perl catalyst
我开发并维护一个用Perl/Catalyst编写的客户门户.我们使用Catalyst身份验证插件(带有LDAP存储后端,再加上一些deny_unless规则,以确保合适的人拥有正确的组成员身份).
通常,在管理客户的权限时,我们需要在交出之前测试用户的设置.目前,我们唯一的办法是重置用户密码并自行登录,但这并不理想,特别是如果用户已经设置了自己的密码等.
我的问题是:对于Catalyst,有没有人遇到过冒充用户帐户的方法,以便在给定正确的超级管理员权限的情况下,可以在测试设置时临时模拟另一个帐户,然后在完成后退出?
如果不是在Catalyst中,那么人们如何在其他框架或自己的自定义解决方案中使用它?不可否认,这是为Web应用程序引入可能极为恶劣的攻击向量的东西,但如果被迫实施,那么人们如何为此设计?也许是一些严肃的cookie-session-fu?或者可能是一个actualID/effectiveID系统?
我们使用自定义身份验证器控制器,自定义用户类(MyApp :: Core :: User)和几个领域:
package MyApp::Controller::Auth;
...
sub surrogate : Local {
my ( $self, $c ) = @_;
my $p = $c->req->params;
my $actual_user = $c->user; # save it for later
try {
$c->authenticate({ id=>$p->{surrogate_id} }, 'none');
$c->session->{user} = new MyApp::Core::User(
active_user => $actual_user,
effective_user => $c->user );
$c->stash->{json} = { success => \1, msg => "Login Ok" };
} catch {
$c->stash->{json} = { success => \0, msg => "Invalid User" };
};
$c->forward('View::JSON');
}
在myapp.conf我使用这样的东西:
<authentication>
default_realm ldap
<realms>
<ldap>
# ldap realm config stuff here
</local>
<none>
<credential>
class Password
password_field password
password_type none
</credential>
<store>
class Null
</store>
</none>
</realms>
</authentication>
这样我们就可以创建一个普通的Catalyst用户对象,但是将它包装在我们的自定义用户类中以获得更多控制.我可能已经为代理创建了一个专门的领域,但我选择使用我自己的用户类.这是一段时间后做的,我记得为什么我们这样做了.