Регистронезависимая авторизация по username и по e-mail | Forum

Posts: 333
Location: Samara

15 April 2016, 13:27

Posts: 333
Location: Samara

Вовремя обнаружил, что стандартная авторизация по username не регистронезависимая.
Относительно малой кровью, вроде как, получилось исправить это так:
(в коде есть и бэкенд авторизации по мылу, может кому пригодиться)
backends.py

from django.contrib.auth.hashers import check_password
from django.contrib.auth import get_user_model
from django.contrib.auth.backends import ModelBackend


class UserModelEmailBackend(ModelBackend):

    def authenticate(self, username=None, password=None, **kwargs):
        usermodel = get_user_model()
        try:
            user = usermodel.objects.get(email__iexact=username)
            if check_password(password, user.password):
                return user
            else:
                return None
        except usermodel.DoesNotExist:
            return None
        except usermodel.MultipleObjectsReturned:
            users = usermodel.objects.filter(email__iexact=username)
            for user in users:
                if check_password(password, user.password):
                    return user
            return None


class CaseInsensitiveModelBackend(ModelBackend):

    def authenticate(self, username=None, password=None, **kwargs):
        usermodel = get_user_model()
        try:
            user = usermodel.objects.get(username__iexact=username)
            if user.check_password(password):
                return user
            else:
                return None
        except usermodel.DoesNotExist:
            return None
        except usermodel.MultipleObjectsReturned:
            users = usermodel.objects.filter(username__iexact=username)
            for user in users:
                if check_password(password, user.password):
                    return user
            return None

Файл backends.py кладем радом с settings.py проекта.
В settings.py добавляем:

AUTHENTICATION_BACKENDS = [
    'имя_проекта.backends.UserModelEmailBackend',
    'имя_проекта.backends.CaseInsensitiveModelBackend',
]

Что мы получили:
1. Можем авторизоваться как по юзернайму так и по мылу.
2. При вводе логина регистр не важен.
3. В БД могут быть пользователи, например, с такими именами: Evg и evg. Определяться кто же все-таки авторизуется будет, в этом случае, по паролю.
4. Аналогично и с мылом, только еще у пользователей может быть и абсолютно одинаковое мыло. В этом случае, так же, пароль "установит" корректного пользователя.

Пока на 100%% не уверен, что не напорюсь впоследствии на какие-нибудь "подводные камни" (побыстрому проверил - вроде работает, основательно буду тестить вечером). Тема регистрации/авторизации оказывается не так проста :) Это подтверждает множество веток, которые появляются в последнее время на этом форуме.
Если кто чего подскажет полезного, относительно кода выше, буду благодарен.

Answer | 0

15 April 2016, 14:00

Posts: 483

15 April 2016, 14:00

Posts: 483

Определяться кто же все-таки авторизуется будет, в этом случае, по паролю.

Сумасшествие какое-то :) То есть пароли тоже должны проверяться на уникальность? :)

По моему такой огород городить не нужно. Достаточно преобразовывать все буквы имени в нижний регистр, перед сохранением. И поручить это дело можно аж форме.

На самом деле, того что джанго предоставляет из коробки, почти всегда достаточно.

Answer | 1

15 April 2016, 14:10

Posts: 333
Location: Samara

15 April 2016, 14:10

Posts: 333
Location: Samara

Michael
Да, то что есть в стандарте, почти всегда достаточно.
Но... По моему убеждению - логин, при авторизации, должно быть позволено вводить регистронезависимо. Пароль же проверять на уникальность смысла нет. В Django 1.9 требует 8 символов...
Предлагаемый Вами способ мне не подходит, так как, в этом случае, теряется оригинальное написание логина пользователя.
Но если, все-таки, делать так как Вы предложили (сохранять в БД в нижнем регистре) то делать это надо точно не в форме (их может быть много в проекте), а на уровне БД (ну или городить, на выбор - кастом юзера, переопределять метод save, плюс еще, для случаев групповой вставки, сигналы делать... и т.п. и т.д...).

Answer | 0

15 April 2016, 14:10

Posts: 5750
Location: Львов

15 April 2016, 14:10

Posts: 5750
Location: Львов

На самом деле, того что джанго предоставляет из коробки, почти всегда достаточно.

Это из другого топика. Фикс внешней авторизации, которая не учитывает регистр.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 14:28

Posts: 333
Location: Samara

15 April 2016, 14:28

Posts: 333
Location: Samara

alerion
Если имеется ввиду эта тема, то там у товарища всё гораздо сложнее :)
Но действительно, именно ее прочтение, заставило меня проверить авторизацию, которую я сейчас делаю (на основе стандартного юзера). Плюс, его упоминание про АД и "репликации" юзеров между базами АД и Django, позволило мне понять, что пути добавления юзеров могут быть не только через форму регистрации :)

А я всего лишь немного "пофиксил" только стандартную Авторизацию согласно своим предпочтениям.

Updated 15 April 2016, 14:30 by EvgIq.

Answer | 0

15 April 2016, 14:30

Posts: 483

15 April 2016, 14:30

Posts: 483

Но если, все-таки, делать так как Вы предложили (сохранять в БД в нижнем регистре) то делать это надо точно не в форме (их может быть много в проекте), а на уровне БД (ну или городить, на выбор - кастом юзера, переопределять метод save, плюс еще, для случаев групповой вставки, сигналы делать... и т.п. и т.д...).

Можно делать по разному, но вариант с формой всё-таки предполагает наименьшее количество работы.

то делать это надо точно не в форме (их может быть много в проекте),

что мешает сделать одну абстрактную, которая и будет выполнять это действие?

Updated 15 April 2016, 14:31 by Michael.

Answer | 0

15 April 2016, 14:33 Michael Posts: 483	15 April 2016, 14:33 Michael Posts: 483 Я не знаю, на мой взгляд, чем больше костылей к исходному коду, тем сложнее будет дальнейшее сопровождение.
	Answer \| 0

15 April 2016, 14:35 EvgIq Posts: 333 Location: Samara	15 April 2016, 14:35 EvgIq Posts: 333 Location: Samara Michael Как раз костылить формы, более костыльно получается :) У меня же - все "доработки" в одном файле.
	Answer \| 0

15 April 2016, 14:40

Posts: 483

15 April 2016, 14:40

Posts: 483

Michael

Как раз костылить формы, более костыльно получается :)

У меня же - все "доработки" в одном файле.

Это не костыли, а предусмотренная джангой обработка данных формы.

Почитайте про это: class Форма: def clean_чего-то-там(self).

Updated 15 April 2016, 14:40 by Michael.

Answer | 0

15 April 2016, 14:43

Posts: 483

15 April 2016, 14:43

Posts: 483

А если вы пользователя переопределяли, то там вообще, можно в валидатор поля регулярку добавть, которая будет только буквы нижнего регистра пропускать. Это даже меньше чем одна строчка кода.

Updated 15 April 2016, 14:44 by Michael.

Answer | 0

15 April 2016, 14:43 EvgIq Posts: 333 Location: Samara	15 April 2016, 14:43 EvgIq Posts: 333 Location: Samara Michael backends.py - непредусмотренный что-ли? :) А если вы пользователя переопределяли... Прошу внимательнее - стандартный юзер. Updated 15 April 2016, 14:45 by EvgIq.
	Answer \| 0

15 April 2016, 14:48 Michael Posts: 483	15 April 2016, 14:48 Michael Posts: 483 Ну дак поэтому я и ниписал про формы. За проверку данных, они отвечают, поэтому там и надо проверять.
	Answer \| 0

15 April 2016, 15:13

Posts: 5750
Location: Львов

15 April 2016, 15:13

Posts: 5750
Location: Львов

А я всего лишь немного "пофиксил" только стандартную Авторизацию согласно своим предпочтениям.

Такой себе фикс, вы ослабили защиту. Логин является такой же частью авторизации, как и пароль. Например, на этом сайте мы не светим мыло т.к. оно используется для авторизации, таким образом сложнее брутфорсить аккаунты. Часто ты отдельно указываешь username, а не показываешь логин, чтобы нельзя было брутфорсить аккаунт.

С регистро-независимым логином должен быть уникальный пароль, а это вообще никак не обеспечить без открытого хранения. Можно создать аккаунт, взяв чужой логин в другом регистре и указав такой же пароль. Учитывая количество возможных вариантов написания, можно банально попробовать создать аккаунты с самыми популярными простыми паролями.

Вы бы еще не учитывали регистр при сбросе пароля.

Updated 15 April 2016, 15:15 by alerion.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 15:29

Posts: 333
Location: Samara

15 April 2016, 15:29

Posts: 333
Location: Samara

alerion
Скорее, защита ослаблена, тем, что есть возможность авторизироваться и по юзернейму и по мылу (при видимости юзернеймавсеми) . А не тем, что логин - регистронезависим.

Вы бы еще не учитывали регистр при сбросе пароля.

Сброс пароля - при указании мыла.
Если ты указал не свое имя при регистрации - твои проблемы :)

Updated 15 April 2016, 15:34 by EvgIq.

Answer | 0

15 April 2016, 15:33

Posts: 5750
Location: Львов

15 April 2016, 15:33

Posts: 5750
Location: Львов

Скорее, защита ослаблена, тем, что есть возможность авторизироваться и по юзернейму и по мылу (при видимости юзернеймавсеми) . А не тем, что логин - регистронезависим.

Если учитывать, что в БД реально есть логины, которые отличаются лишь регистром, за один подход можно брутфорсить сразу набор таких логинов.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 15:38

alexscrat

Posts: 448
Location: Poltava

15 April 2016, 15:38

alexscrat

Posts: 448
Location: Poltava

Но... По моему убеждению - логин, при авторизации, должно быть позволено вводить регистронезависимо

и придумывают же люди сами себе проблемы

Такого вообще нигде не видел

В чем хотя бы один аргумент за такое решение?

Updated 15 April 2016, 15:38 by alexscrat.

Answer | 1

15 April 2016, 15:41 EvgIq Posts: 333 Location: Samara	15 April 2016, 15:41 EvgIq Posts: 333 Location: Samara alexscrat Конечно - тупо забыл в каком регистре написал юзернейм за один подход можно брутфорсить сразу набор таких логинов. Тут соглашусь. но так ли велика разница? Updated 15 April 2016, 15:42 by EvgIq.
	Answer \| 0

15 April 2016, 15:48 alexscrat Posts: 448 Location: Poltava	15 April 2016, 15:48 alexscrat Posts: 448 Location: Poltava Конечно - тупо забыл в каком регистре написал юзернейм Updated 15 April 2016, 15:48 by alexscrat. 42
	Answer \| 1

15 April 2016, 16:00 EvgIq Posts: 333 Location: Samara	15 April 2016, 16:00 EvgIq Posts: 333 Location: Samara alexscrat ахах, рутрекер - отличный пример, друг... :) там логин регистронезависим (нехорошо удалять свои косяки в споре) Updated 15 April 2016, 16:01 by EvgIq.
	Answer \| 0

15 April 2016, 18:17

Posts: 333
Location: Samara

15 April 2016, 18:17

Posts: 333
Location: Samara

alexscrat Сейчас проверил github.com и bitbucket.org. На этих сайтах можно логиниться и по юзернейму и по мылу. Так вот, при логине по юзернейму так же соблюдается регистронезависимость.
Надеюсь, Ваше заблуждение, относительно того что я придумал проблемы - развеено? :)

Updated 15 April 2016, 18:18 by EvgIq.

Answer | 0

15 April 2016, 18:20 Michael Posts: 483	15 April 2016, 18:20 Michael Posts: 483 Дак дело не в регистро-независимости, а в том как ты это реализовал. У тебя в идентификации по пароль участвует, ну это же ппц.
	Answer \| 0

15 April 2016, 18:23 EvgIq Posts: 333 Location: Samara	15 April 2016, 18:23 EvgIq Posts: 333 Location: Samara Michael Что конкретно ппц?
	Answer \| 0

15 April 2016, 18:41 iNerV Posts: 124	15 April 2016, 18:41 iNerV Posts: 124 это получается, что имея в базе пользователей с никами Qwerty qWerty qwErty qweRty ... QWerty .... QWERTY запустив брутфорс только по qwerty мы будем перебирать базу сразу по десятку пользователей? удобно ;)
	Answer \| 1

15 April 2016, 18:45 EvgIq Posts: 333 Location: Samara	15 April 2016, 18:45 EvgIq Posts: 333 Location: Samara iNerV Да, удобно, можно попробовать на гитхабе :) Однако, сия проблема, мне кажется, несколько преувеличена :)
	Answer \| 0

15 April 2016, 19:36 Michael Posts: 483	15 April 2016, 19:36 Michael Posts: 483 iNerV, я не понимаю твоей обороны. Ну ведь все сказали уже, что плохое решение, по многим параметрам. Признал, бы уже :)
	Answer \| 0

15 April 2016, 19:41

Posts: 333
Location: Samara

15 April 2016, 19:41

Posts: 333
Location: Samara

Michael
Извините, конечно, но меня всегда удивляют люди, которые не доганяют что-то, но тем не менее что-то пытаются указывать, да еще и ссылаясь на чужие мнения.
Конкретно прошу Вас ответить - чем плох регистронезависимый логин? То есть вход на сайт, который здесь обсуждаем. Ответите или нет?

Answer | 0

15 April 2016, 19:45 Michael Posts: 483	15 April 2016, 19:45 Michael Posts: 483 Регистронезависимый логин дело нормальное. Я ещё раз говорю - все косяки в идеях реализации.
	Answer \| 1

15 April 2016, 19:49 EvgIq Posts: 333 Location: Samara	15 April 2016, 19:49 EvgIq Posts: 333 Location: Samara Michael В каких еще идеях? Реализация вон уже - представлена на обсуждение. В чем там "косяки"?
	Answer \| 0

15 April 2016, 19:57 Michael Posts: 483	15 April 2016, 19:57 Michael Posts: 483 Ну дак писали же уже. Во-первых, ты пользователей различаешь, по паролю. Во-вторых, тут на мой взгляд, делать регистронезависимость через бекенды - та ещё хрень.
	Answer \| 0

15 April 2016, 20:02

Posts: 333
Location: Samara

15 April 2016, 20:02

Posts: 333
Location: Samara

Michael
1. А как Вы хотите авторизировать без пароля?
2. "хрень", Michael - это названия классов, переменных и проч... русскими буквами на гитхабе . А реализация проверки логина через бэкенд - одна из возможностей в Django

Updated 15 April 2016, 20:06 by EvgIq.

Answer | 0

15 April 2016, 20:08 Michael Posts: 483	15 April 2016, 20:08 Michael Posts: 483 Michael А как Вы хотите авторизировать без пароля? Я разве про такое писал?
	Answer \| 0

15 April 2016, 20:11 Michael Posts: 483	15 April 2016, 20:11 Michael Posts: 483 А реализация проверки логина через бэкенд - одна из возможностей в Django Можно пальцем ткнуть, я не могу понять о чём речь. Updated 15 April 2016, 20:11 by Michael.
	Answer \| 0

15 April 2016, 20:12 EvgIq Posts: 333 Location: Samara	15 April 2016, 20:12 EvgIq Posts: 333 Location: Samara Michael Так о том и речь - о чем же Вы пишете? Для авторизации надо - логин+пароль. В коде это присутствует. Что Вас смущает то?
	Answer \| 0

15 April 2016, 20:19

Posts: 483

15 April 2016, 20:19

Posts: 483

В БД могут быть пользователи, например, с такими именами: Evg и evg. Определяться кто же все-таки авторизуется будет, в этом случае, по паролю.

Аналогично и с мылом, только еще у пользователей может быть и абсолютно одинаковое мыло. В этом случае, так же, пароль "установит" корректного пользователя.

Вот это смущает.

Ты используешь пароль, для того чтобы РАЗЛИЧАТЬ пользователей.

Answer | 0

15 April 2016, 20:26

Posts: 333
Location: Samara

15 April 2016, 20:26

Posts: 333
Location: Samara

Дорогой Michael, а для чего Вы используете пароль? И еще раз замечу - я использую логин+пароль. Но, если логины регистронезависимо совпадают - тогда один пароль. А теперь скажите мне вероятность совпадения паролей для строки, длиной 8 символов (я уже отмечал, что использую Django 1.9, где требуется 8 символов), пусть даже со всеми допущениями на безалаберность пользователей. Если Вы сможете ответить о такой вероятности, тогда обсудим, почему можно или почему нельзя использовать так пароль.

Answer | 0

15 April 2016, 20:35 Michael Posts: 483	15 April 2016, 20:35 Michael Posts: 483 Евгений, вы просто Очень Упрямый Человег :)
	Answer \| 0

15 April 2016, 20:37 EvgIq Posts: 333 Location: Samara	15 April 2016, 20:37 EvgIq Posts: 333 Location: Samara Michael скорее настойчивый, в своем желании таки исправить "косяки" о которых Вы упорно пишете, но указать на них не можете.
	Answer \| 0

15 April 2016, 20:44 Michael Posts: 483	15 April 2016, 20:44 Michael Posts: 483 Просто упрямство удивляет. То что вы сделали, это как водку пить попой :-) Вроде и эффект тот же... почти.
	Answer \| 0

15 April 2016, 20:50 EvgIq Posts: 333 Location: Samara	15 April 2016, 20:50 EvgIq Posts: 333 Location: Samara Michael Вам виднее чо и как пить. В отличии от предмета обсуждения.
	Answer \| 0

15 April 2016, 20:53

Posts: 483

15 April 2016, 20:53

Posts: 483

Вот первый вариант. ты решил зарегаться. Первый раз ты зарегистрировался как Evqlq. Потом ты забыл, что зарегистрировался, и зарегестрировался заного как evqlq. Потом ты ещё раз зарегистрировался как eVqlQ. А пароль у всех аккаунтов одинаковый.

Вот второй вариант. Пароли в базе ведь ещё и в зашифрованном виде лежат. Понимаешь, к чему я клоню? Представь, что у тебя сотня вариантов имён евгеньевич, как бы не тысячи, ленюсь считать. Это тебе, чтобы их различить, надо все эти варианты паролей из бд выбрать расшифровать и сравнить. Нравится нагрузка на сервер? А если пароли одинаковые есть вроде qwerqwer? Люди будут на чужие аккаунты попадать, получается?

Ну а если эту тысячу аккаунтов начнут как выразился Alerion, "брудфорсить". Да, пароль удобно подбирать....

Вобщем решение называется: "через жопу".

Updated 15 April 2016, 20:56 by Michael.

Answer | 0

15 April 2016, 20:58 EvgIq Posts: 333 Location: Samara	15 April 2016, 20:58 EvgIq Posts: 333 Location: Samara Michael ну Вы даете :) Это называется - бред сивой кобылы... Вероятность, я так понял, Вы сказать не можете. Так и обсуждать нечего.
	Answer \| 0

15 April 2016, 21:16 Michael Posts: 483	15 April 2016, 21:16 Michael Posts: 483 Ага, я так понимаю, сейчас ты на меня ругаешься, а потом будешь на пользователей ругаться, что они твой проект "неправильно используют". "-)
	Answer \| 0

15 April 2016, 21:38

Posts: 333
Location: Samara

15 April 2016, 21:38

Posts: 333
Location: Samara

Michael
Ругать Вас не хотел, прошу прощения если что не так.
Но реально - Вам бы сценарии к сериалам писать к индийским фильмам (если Вам за 40, то должны понять о чем я), про то как забыл имя, но помнишь код от сейфа, замок которого в итоге расплавился.

Answer | 0

15 April 2016, 22:14

Posts: 5750
Location: Львов

15 April 2016, 22:14

Posts: 5750
Location: Львов

Сейчас проверил github.com и bitbucket.org. На этих сайтах можно логиниться и по юзернейму и по мылу. Так вот, при логине по юзернейму так же соблюдается регистронезависимость.

И нельзя создать аккаунт с таким же именем в другом регистре. У них комплексное решение, а не костыль. Вы бы хоть проверили для начала.

Тут скорее всего опять же сделали для безопасности, чтобы нельзя было притворятся кем-то, поменяв одну букву.

Updated 15 April 2016, 22:15 by alerion.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 22:18

Posts: 5750
Location: Львов

15 April 2016, 22:18

Posts: 5750
Location: Львов

А теперь скажите мне вероятность совпадения паролей для строки, длиной 8 символов (я уже отмечал, что использую Django 1.9, где требуется 8 символов), пусть даже со всеми допущениями на безалаберность пользователей.

Похоже вы никогда не занимались изучением подобной темы, да и собственно брутфорсом. Я выше писал, что в зависимости от количества пользователей и сервиса, это может быть реально уязвимостью. Понятное дело, что на djbook например, можно о таком не боятся.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 22:25

Posts: 333
Location: Samara

15 April 2016, 22:25

Posts: 333
Location: Samara

alerion
Проверить для начала, нужно было тому, кто писал про выдуманный мной способ регистронезависимой авторизации(!) на сайте :)
Речь я здесь веду ведь о ней, и о конкретном коде.
Что же касается Регистрации, и возможные проверки при ее осуществлении, как и причины, по которой их делают (об одной из них Вы упомянули - чтобы не притворялись кем-то другим), то ее я здесь не затрагивал. Но про эту проблему я не забыл.
Допустим, есть на сайте юзернейм - МистерИкс. Имеет он право так назваться - да пожалуйтса. Теперь регается другой - Мистерикс - тоже пожалуйста. Какие могут быть проблемы?
Что их перепутают? - Мне это несущественно.
Что совпадут пароли? - Вернусь к вопросу вероятности. Могу сообщить свой логин от гитхаба, пароль к нему простой, не больше 8 символов... попробуйте "совпасть".

Updated 15 April 2016, 22:46 by EvgIq.

Answer | 0

15 April 2016, 22:38

Posts: 333
Location: Samara

15 April 2016, 22:38

Posts: 333
Location: Samara

Про брутфорс, напишу отдельно.
От него защищаются многими способами. Как Вы правильно написали, такой защитой я не занимался. Но там целая куча мер. И проблема совпадающих логинов, уверен, не самая важная.
Гораздо важнее, юзерам, делать себе нормальные пароли для важных аккуантов.

Answer | 0

15 April 2016, 22:52

Posts: 5750
Location: Львов

15 April 2016, 22:52

Posts: 5750
Location: Львов

Короче ересь. Вы предлагаете использовать код, у которого много спорных моментов, и с которым нужно еще обдумывать разные ситуации, типа не позволять создавать юзернеймы в разном регистре, учитывать особенность пользователей, на сколько они склонны использовать простые пароли.

Что совпадут пароли? - Вернусь к вопросу вероятности. Могу сообщить свой логин от гитхаба, пароль к нему простой, не больше 8 символов... попробуйте "совпасть".

Изучите для начала проблему простых паролей, слива мыл и логинов с сайта, брутфорса. Какая нафиг теория вероятности? Вы же не про случайные данные говорите.

Фиксю баги по трейсбеку.

Answer | 0

15 April 2016, 23:03

Posts: 333
Location: Samara

15 April 2016, 23:03