![\"image\"\/](\"http:\/\/habrastorage.org\/files\/a34\/317\/86b\/a3431786b09b4e8b9bc30d4d3613ca5c.jpg\")
<\/p>\n\t\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442<\/p>\n
\u0412 \u0441\u0442\u0430\u0442\u044c\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0438 \u0440\u0430\u0437\u0432\u0451\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b SSO-\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0435\u0439 Kerberos \u0438 JWT. \u041c\u043e\u0434\u0443\u043b\u044c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d \u0441 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435\u043c Flask, Flask-Login \u0438 PyJWT. \u0420\u0430\u0437\u0432\u0451\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u043e \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache, \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 FreeIPA \u0438 \u043c\u043e\u0434\u0443\u043b\u044f mod_lookup_identity \u043d\u0430 CentOS 6\/7. \u0412 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u043d\u043e\u0433\u043e \u0442\u0435\u043a\u0441\u0442\u0430, \u0441\u0440\u0435\u0434\u043d\u0435 \u043a\u043e\u0434\u0430 \u0438 \u043c\u0430\u043b\u043e \u043a\u0430\u0440\u0442\u0438\u043d\u043e\u043a. \u0412 \u043e\u0431\u0449\u0435\u043c, \u0431\u0443\u0434\u0435\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e \ud83d\ude42<\/p>\n
<\/p>\n
<\/a><\/p>\n \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u043f\u0440\u043e SSO. Single Sign-On (SSO) \u2014 \u043f\u0440\u0438\u043d\u0446\u0438\u043f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0432\u0432\u0435\u0441\u0442\u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u0438\u043d \u0440\u0430\u0437 \u043f\u0440\u0438 \u043d\u0430\u0447\u0430\u043b\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u0438 \u043f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0449\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0431\u0435\u0441\u043f\u0430\u0440\u043e\u043b\u044c\u043d\u044b\u0439 \u0432\u0445\u043e\u0434 \u0432\u043e \u0432\u0441\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0434\u043e\u043c\u0435\u043d\u0430. \u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 100% SSO \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0447\u0435\u043d\u044c \u0440\u0435\u0434\u043a\u043e, \u0438\u0431\u043e \u0432 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f\u0445 \u0447\u0430\u0441\u0442\u043e \u0431\u044b\u0432\u0430\u044e\u0442 legacy-\u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0435 \u0437\u043d\u0430\u044e\u0442 \u0442\u0430\u043a\u043e\u0439 \u0430\u0431\u0431\u0440\u0435\u0432\u0438\u0430\u0442\u0443\u0440\u044b \u043b\u0438\u0431\u043e \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043c\u0435\u0442\u043e\u0434\u044b. \u041a \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u043c \u043c\u0435\u0442\u043e\u0434\u0430\u043c SSO \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b Kerberos, \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b SSL \u0438 \u043f\u0440\u043e\u0447\u0435\u0435. \u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0437\u0430\u0434\u0430\u0447\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438\/\u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0442\u043e\u043a\u0435\u043d\u0430 \u043c\u043e\u0436\u0435\u0442 \u0432\u043e\u0437\u043b\u0430\u0433\u0430\u0442\u044c\u0441\u044f \u043a\u0430\u043a \u043d\u0430 \u043a\u0430\u0436\u0434\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0442\u0430\u043a \u0438 \u043d\u0430 \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438. \u041e\u0431\u044b\u0447\u043d\u043e \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435 SSO \u043f\u043e\u0434\u0440\u0430\u0437\u0443\u043c\u0435\u0432\u0430\u0435\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432 \u0438 \u043d\u0435\u043a\u043e\u0435 \u041f\u041e \u0434\u043b\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u044d\u0442\u043e\u0439 \u0431\u0430\u0437\u043e\u0439.<\/p>\n \u0414\u043b\u044f Windows-\u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0435\u0441\u0442\u044c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0449\u0435\u0435 \u043a\u0430\u043a SSO, \u0442\u0430\u043a \u0438 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0411\u0414 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u2014 Active Directory. \u0412 linux-\u043c\u0438\u0440\u0435 \u0432\u0441\u0451 \u043d\u0435 \u0442\u0430\u043a \u043e\u0434\u043d\u043e\u0437\u043d\u0430\u0447\u043d\u043e. \u0411\u044b\u043b \u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0441\u0434\u043e\u0445 NIS (\u043d\u043e \u043d\u0435 \u0434\u043e \u043a\u043e\u043d\u0446\u0430), \u0435\u0441\u0442\u044c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u00ab\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445\u00bb \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u043d\u0430 LDAP, \u043c\u043d\u043e\u0433\u0438\u0435 (\u0438 \u044f \u0442\u043e\u0436\u0435) \u0434\u0435\u043b\u0430\u043b\u0438 \u043a\u0430\u043a\u0438\u0435-\u0442\u043e \u0441\u0432\u043e\u0438 \u043d\u0430\u0434\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0438 \u0432\u0435\u0431-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u044b \u043d\u0430\u0434 OpenLDAP, \u043f\u044b\u0442\u0430\u043b\u0438\u0441\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c winbind \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 AD \u0438 \u0442\u0430\u043a \u0434\u0430\u043b\u0435\u0435. \u041d\u0430 \u043c\u043e\u0439 \u0441\u043a\u0440\u043e\u043c\u043d\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 Red Hat \u0434\u0430\u043b\u044c\u0448\u0435 \u0432\u0441\u0435\u0445 \u0443\u0448\u043b\u0430 \u0432 \u0432\u043e\u043f\u0440\u043e\u0441\u0435 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e \u00ab\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430\u00bb \u0434\u043b\u044f Linux, \u043a\u0443\u043f\u0438\u0432 \u0438 \u0434\u043e\u043f\u0438\u043b\u0438\u0432 FreeIPA. \u041f\u0440\u043e\u0434\u0443\u043a\u0442 \u0440\u0430\u0437\u0432\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439, \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0432 RHEL\/OEL\/CentOS\/Fedora-\u0441\u0440\u0435\u0434\u0435 (\u0434\u043e\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u044e\u0442, \u0447\u0442\u043e \u0438 \u0434\u043b\u044f Debian \u0435\u0441\u0442\u044c \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0439 \u043c\u043e\u0434\u0443\u043b\u044c), \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u043a\u0440\u043e\u0441\u0441-\u0434\u043e\u043c\u0435\u043d\u043d\u0443\u044e \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e \u0432 AD, \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0446\u0435\u043b\u0438\u043a\u043e\u043c \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441, \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 DNS, automount, sudo\u2026 \u041a\u043e\u0440\u043e\u0447\u0435, \u043e\u043d \u0443 \u043c\u0435\u043d\u044f \u0435\u0441\u0442\u044c \u0438 \u044f \u0441 \u043d\u0438\u043c \u0441\u0447\u0430\u0441\u0442\u043b\u0438\u0432\u043e \u0436\u0438\u0432\u0443.<\/p>\n \u0422\u0443\u0442 \u0445\u043e\u0447\u0443 \u043f\u043e\u0432\u0442\u043e\u0440\u0438\u0442\u044c\u0441\u044f, \u0447\u0442\u043e \u0441\u043e\u0444\u0442 \u044f \u043f\u0438\u0441\u0430\u0442\u044c \u043d\u0435 \u043e\u0441\u043e\u0431\u043e \u0443\u043c\u0435\u044e \u0438 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u043b\u044e\u0431\u043b\u044e, \u043d\u043e \u0438\u043d\u043e\u0433\u0434\u0430 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u0441\u044f. \u0418 \u0432\u043e\u0442 \u043f\u0438\u0441\u0430\u043b \u044f \u0443\u0431\u0438\u0439\u0446\u0443 Google Forms, \u0438, \u0435\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0432\u0441\u0442\u0430\u043b\u0430 \u0437\u0430\u0434\u0430\u0447\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u043a\u043e\u044e \u044f \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0440\u0435\u0448\u0438\u043b, \u0432\u043e\u0437\u043b\u043e\u0436\u0438\u0432 \u0437\u0430\u0434\u0430\u0447\u0443 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 kerberos-\u0442\u0438\u043a\u0435\u0442\u0430 \u043d\u0430 Apache \u0438 \u0437\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u044f \u043f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 LDAP (\u0438\u0437 FreeIPA) \u0434\u043b\u044f uid \u0438\u0437 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 REMOTE_USER. \u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c, \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0432 mod_lookup_identity<\/a>, \u0441\u043c\u043e\u0433 \u0434\u0430\u0436\u0435 \u043e\u0442\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f \u043e\u0442 \u0440\u0430\u0431\u043e\u0442\u044b \u0441 LDAP. \u041d\u043e \u0431\u044b\u043b\u043e \u0432 \u044d\u0442\u043e\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0438 \u043e\u0434\u043d\u043e \u0441\u043b\u0430\u0431\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u2014 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 windows \u0438 \u044f, \u0437\u0430\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0441 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432, \u043d\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0445 FreeIPA \u0438, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043d\u0435 \u0438\u043c\u0435\u044e\u0449\u0438\u0435 kerberos-\u0442\u0438\u043a\u0435\u0442\u0430 (\u0441\u0442\u0440\u043e\u0433\u043e \u0433\u043e\u0432\u043e\u0440\u044f, win-\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u043c\u043e\u0433\u043b\u0438 \u0431\u044b \u0438\u043c\u0435\u0442\u044c \u0442\u0438\u043a\u0435\u0442 \u0447\u0435\u0440\u0435\u0437 \u0438\u0437\u0432\u0440\u0430\u0442 \u0441 cmd \u043b\u0438\u0431\u043e \u0447\u0435\u0440\u0435\u0437 \u0440\u0430\u0437\u0432\u0451\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 AD \u0438 cross-domain trust, \u043d\u043e \u043d\u0438 \u0442\u0435\u043c, \u043d\u0438 \u0434\u0440\u0443\u0433\u0438\u043c \u0438\u0437\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u0435\u043c \u0437\u0430\u043d\u0438\u043c\u0430\u0442\u044c\u0441\u044f \u043d\u0435 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c).<\/p>\n \u0414\u0430\u0432\u043d\u044b\u043c \u0434\u0430\u0432\u043d\u043e \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u043b \u044f \u043f\u0440\u043e JSON Web Tokens<\/a> \u0438 \u0432\u0441\u0435\u0433\u0434\u0430 \u0447\u0435\u0441\u0430\u043b\u0438\u0441\u044c \u0440\u0443\u043a\u0438 \u0438\u0445 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c. \u0412\u043e\u0442 \u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u0438\u043b\u0430\u0441\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c. \u042f \u043f\u043e\u0440\u0435\u0448\u0438\u043b \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0442\u0430\u043a: \u0442\u0435, \u043a\u0442\u043e \u0438\u043c\u0435\u044e\u0442 krb-\u0442\u0438\u043a\u0435\u0442, \u043f\u0443\u0441\u0442\u044c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 Kerberos, \u0430 \u0442\u0435 \u0431\u0435\u0434\u043d\u044f\u0433\u0438, \u0443 \u043a\u043e\u0433\u043e \u0442\u0438\u043a\u0435\u0442\u0430 \u043d\u0435\u0442, \u043f\u0443\u0441\u0442\u044c \u0432\u0432\u043e\u0434\u044f\u0442 \u043b\u043e\u0433\u0438\u043d-\u043f\u0430\u0440\u043e\u043b\u044c \u0438 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u043d\u0430 Basic-\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e. \u0422\u0435\u043c \u0431\u043e\u043b\u0435\u0435, \u0447\u0442\u043e \u0434\u043b\u044f Basic Auth \u0435\u0441\u0442\u044c mod_authnz_pam<\/a>, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u0432\u043e\u043e\u0431\u0449\u0435 \u0437\u0430\u0431\u044b\u0442\u044c \u043f\u0440\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u0440\u0443\u043a\u0430\u043c\u0438. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u0432 cookie \u0432 \u0432\u0438\u0434\u0435 JWT, \u0430 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u0432\u0448\u0435\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e, \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u043b\u0443\u0447\u0430\u0442\u044c \u044d\u0442\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0442\u043e\u043a\u0435\u043d\u0430. \u0421\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u043e\u0444\u043e\u0440\u043c\u0438\u043b\u0430\u0441\u044c \u043f\u043e\u0442\u0440\u0435\u0431\u043d\u043e\u0441\u0442\u044c \u0432 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0435\u0440\u0432\u0438\u0441\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438, \u0432\u044b\u0434\u0430\u044e\u0449\u0435\u043c JWT.<\/p>\n \u0414\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c Python \u0438 Flask (\u0442\u0430\u043a \u043a\u0430\u043a \u044d\u0442\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435, \u043d\u0430 \u0447\u0451\u043c \u044f \u043c\u043e\u0433\u0443 \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u0431\u043e\u043b\u0435\u0435-\u043c\u0435\u043d\u0435\u0435 \u0437\u0430\u043a\u043e\u043d\u0447\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f). \u0414\u043b\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u0432 Flask \u0431\u044b\u043b \u0432\u0437\u044f\u0442 Flask-Login, \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0441 jwt \u2014 PyJWT<\/a>. \u0421\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u0438, \u0435\u0441\u043b\u0438 \u043a\u043e\u043c\u0443 \u043d\u0443\u0436\u043d\u0430, \u0431\u0443\u0434\u0435\u0442 \u0432 \u043a\u043e\u043d\u0446\u0435.<\/p>\n \u0421 \u043f\u043e\u0434\u0430\u0447\u0438 \u043c\u043e\u0435\u0439 \u0436\u0435\u043d\u044b \u0441\u0435\u0440\u0432\u0438\u0441 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0431\u044b\u043b \u043d\u0430\u0437\u0432\u0430\u043d Hogwarts’ Hat (hh) \u2014 \u0442\u0430 \u0448\u043b\u044f\u043f\u0430 \u0442\u043e\u0436\u0435 \u0432\u0441\u0451 \u043f\u0440\u043e \u0432\u0441\u0435\u0445 \u0437\u043d\u0430\u043b\u0430.<\/p>\n \u0414\u043b\u044f hh \u0431\u044b\u043b \u0441\u043e\u0437\u0434\u0430\u043d \u0441\u0432\u043e\u0439 virtualenv, \u043a\u043e\u0434 \u0431\u044b\u043b \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u043a\u043e\u0440\u0435\u043d\u044c \u044d\u0442\u043e\u0433\u043e virtualenv, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043d\u0430 mod_wsgi. \u041d\u0438\u0436\u0435 \u043a\u043e\u043d\u0444\u0438\u0433 \u0430\u043f\u0430\u0447\u0430: <\/p>\n <\/div>\n<\/div>\n \u041b\u043e\u0433\u0438\u043a\u0430 \u0442\u0430\u043a\u043e\u0432\u0430: <\/p>\n \u043b\u0438\u0431\u043e: <\/p>\n \u0412 \u043b\u044e\u0431\u043e\u043c \u0434\u0440\u0443\u0433\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 401 \u043e\u0442 \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u0447\u0442\u043e \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u043a\u0440\u0430\u0441\u0438\u0432\u043e, \u043d\u043e \u0437\u0430\u0442\u043e \u043b\u0435\u0433\u043a\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c. \u0410\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043e\u0439 \u043c\u043e\u0433 \u0431\u044b \u0441\u0442\u0430\u0442\u044c mod_intercept_form_submit<\/a>, \u043d\u043e \u043d\u0435 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0432\u043e\u0437\u0438\u0442\u044c\u0441\u044f \u0441 \u0444\u043e\u0440\u043c\u0430\u043c\u0438.<\/p>\n wsgi-\u0444\u0430\u0439\u043b \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a: <\/p>\n <\/div>\n<\/div>\n __init__.py \u0434\u043b\u044f \u043f\u0430\u043a\u0435\u0442\u0430 app \u0442\u0440\u0438\u0432\u0438\u0430\u043b\u0435\u043d, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u0437\u0434\u0435\u0441\u044c \u043d\u0435 \u0431\u0443\u0434\u0443. \u0410 \u0432\u043e\u0442 views.py \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0435\u0435 \u2014 \u0442\u0430\u043c Flask-Login \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u043e\u0431\u043b\u0435\u0433\u0447\u0438\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f: <\/p>\n <\/div>\n<\/div>\n \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0438\u0434\u0435\u044f \u2014 \u0441\u0432\u043e\u0439 request_loader, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043e\u0431\u044a\u0435\u043a\u0442 \u0442\u0438\u043f\u0430 HTTPDPoweredUser \u0438\u0437 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u0430\u043f\u0430\u0447\u0435\u043c. \u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0432 \u043b\u044e\u0431\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u0437\u0430\u0432\u0451\u0440\u043d\u0443\u0442\u043e\u0439 \u0432 \u0434\u0435\u043a\u043e\u0440\u0430\u0442\u043e\u0440 login_required, \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435 \u0447\u0435\u0440\u0435\u0437 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e current_user.<\/p>\n \u0421\u0435\u0440\u0432\u0438\u0441 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e \u043f\u0440\u0438 \u0437\u0430\u0445\u043e\u0434\u0435 \u0432 \/ \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0432\u044b\u0434\u0430\u0451\u0442\u0441\u044f \u0441\u0432\u0435\u0436\u0438\u0439 jwt-\u043a\u0443\u043a\u0438\u0441 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c: <\/p>\n <\/div>\n<\/div>\n <\/p>\n <\/div>\n<\/div>\n \u041a\u0430\u043a \u0432\u0438\u0434\u043d\u043e, \u0432 \u0442\u043e\u043a\u0435\u043d \u043f\u043e\u043c\u0438\u043c\u043e uid \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0442\u0430\u043a\u0436\u0435 \u0438 \u0424\u0418\u041e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0438 \u0435\u0433\u043e \u0433\u0440\u0443\u043f\u043f\u044b, \u0447\u0442\u043e \u0438\u0437\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043e\u0442 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u043b\u0430\u0437\u0438\u0442\u044c \u0432 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u044c\u043d\u0443\u044e \u0411\u0414 \u0437\u0430 \u0438\u043d\u0444\u043e\u0439 \u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u0445.<\/p>\n \u0422\u0430\u043a\u0436\u0435 \u0443 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0435\u0441\u0442\u044c \u0441\u0442\u0440\u0430\u043d\u0438\u0447\u043a\u0430 \/status, \u0433\u0434\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0441\u0432\u043e\u0435\u0433\u043e jwt: <\/p>\n <\/div>\n<\/div>\n \u041a\u043b\u044e\u0447\u0438 \u044f \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043b \u0442\u0430\u043a: <\/p>\n \u041f\u043e\u0442\u043e\u043c \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043b \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 pem-\u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043a\u043e\u043d\u0444\u0438\u0433. \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e PyJWT \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0441 \u0430\u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u044b\u043c\u0438 \u043a\u043b\u044e\u0447\u0430\u043c\u0438 \u0438 \u044d\u043b\u043b\u0438\u043f\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c\u0438 \u043a\u0440\u0438\u0432\u044b\u043c\u0438 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043c\u043e\u0434\u0443\u043b\u044f cryptography. \u0420\u0430\u0434\u0438\u0443\u0441\u0430 \u043a\u0440\u0438\u0432\u0438\u0437\u043d\u044b \u043c\u043e\u0438\u0445 \u0440\u0443\u043a \u043d\u0435 \u0445\u0432\u0430\u0442\u0438\u043b\u043e, \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c PyJWT \u0441 \u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u043c\u0438 \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438 \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u043c\u043e\u0434\u0443\u043b\u044f\u043c\u0438.<\/p>\n \u041d\u0443 \u0438, \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u043a\u0443\u0441\u043e\u043a \u043a\u043e\u0434\u0430, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0438\u0439 \u0437\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e \u0434\u043b\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439: <\/p>\n <\/div>\n<\/div>\n \u041d\u0435\u043c\u043d\u043e\u0436\u043a\u043e \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u043e\u0432. \u0413\u043b\u0430\u0432\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430: \u041f\u0435\u0447\u0435\u043d\u044c\u043a\u0430 \u0441\u0432\u0435\u0436\u0430\u044f, \u0432 \u0447\u0451\u043c \u043c\u043e\u0436\u043d\u043e \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f \u043d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0435 \/status: last_good_auth \u0438\u0437 krb-\u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0441\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u043b\u044e\u0431\u043e\u0439 \u043f\u0435\u0440\u0435\u0445\u043e\u0434 \u043c\u0435\u0436\u0434\u0443 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430\u043c\u0438 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0447\u0435\u0440\u0435\u0437 krb-\u0442\u0438\u043a\u0435\u0442. \u0412 jwt \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b exp \u0438 nbf \u043d\u0435 \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0438\u0441\u044c, \u043f\u043e\u0442\u043e\u043c\u0443 \u043a\u0430\u043a \u043a\u0443\u043a\u0443 \u043d\u0438\u043a\u0442\u043e \u0438 \u043d\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u043b. \u0410 \u0432\u043e\u0442 \u0447\u0442\u043e \u0431\u0443\u0434\u0435\u0442, \u0435\u0441\u043b\u0438 \u043a\u0443\u043a\u0438\u0441 \u0443\u0434\u0430\u043b\u0438\u0442\u044c: \u041d\u0443 \u0438 \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 \u2014 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0435\u043c \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0438. \u0414\u043b\u044f \u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0431\u044b\u043b\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u043e\u0435 \u0438 \u0443\u0440\u043e\u0434\u043b\u0438\u0432\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0443\u043c\u0435\u0435\u0442 \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u043a\u0443\u043a\u0438\u0441 \u0438 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c \u043b\u0438\u0431\u043e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0441 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0438\u0437 JWT, \u043b\u0438\u0431\u043e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0441 \u043e\u0448\u0438\u0431\u043a\u043e\u0439. \u041e\u043d\u043e \u043d\u0430\u0441\u0442\u043e\u043b\u044c\u043a\u043e \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u043e\u0435 \u0438 \u043d\u0430\u0441\u0442\u043e\u043b\u044c\u043a\u043e \u0443\u0440\u043e\u0434\u043b\u0438\u0432\u043e\u0435, \u0447\u0442\u043e \u044f \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u0435\u0441\u044c \u043a\u043e\u0434 \u0432\u044b\u043b\u043e\u0436\u0443 \u0441\u044e\u0434\u0430: <\/p>\n <\/div>\n<\/div>\n \u0421\u0443\u0442\u044c \u0442\u0430 \u0436\u0435 \u2014 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0439 request_loader \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0442\u043e\u043a\u0435\u043d, \u0430 \u0435\u0441\u043b\u0438 \u0441 \u043d\u0438\u043c \u0447\u0442\u043e-\u0442\u043e \u043d\u0435 \u0442\u0430\u043a \u2014 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 None, \u0447\u0442\u043e \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 Flask-Login \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c unauthorized_handler, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0442\u043e\u0436\u0435 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0439.<\/p>\n \u0414\u0435\u043c\u043e \u0431\u0435\u0437 cookie: \u041f\u043e\u0441\u043b\u0435 \u043f\u043e\u0445\u043e\u0434\u0430 \u0437\u0430 \u043f\u0435\u0447\u0435\u043d\u044c\u043a\u0430\u043c\u0438: \u0415\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u0435\u0442 \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c, \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u043e\u043a\u0430\u0437\u0430 403. \u0411\u043e\u043b\u0435\u0435 \u0442\u043e\u0433\u043e, \u0434\u0435\u043c\u043e-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u0442\u0430\u043a \u0438 \u0431\u044b\u043b\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e, \u043d\u043e \u0437\u0430\u0442\u0435\u043c \u0434\u043b\u044f \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e\u0441\u0442\u0438 \u0431\u044b\u043b\u0430 \u043f\u0440\u0438\u043a\u0440\u0443\u0447\u0435\u043d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u0441 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0430\u043c\u0438.<\/p>\n \u041c\u043e\u0436\u043d\u043e \u0435\u0449\u0451 \u043f\u043e\u0438\u0437\u0434\u0435\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430\u0434 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u043c, \u043f\u043e\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044f \u0435\u043c\u0443 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 data \u0432\u0441\u044f\u043a\u0438\u0439 \u043c\u0443\u0441\u043e\u0440, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0443\u0441\u0442\u0430\u0440\u0435\u0432\u0448\u0438\u0435 \u0438\/\u0438\u043b\u0438 \u0438\u043c\u0435\u044e\u0449\u0438\u0435 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0440\u044b iss\/aud \u0442\u043e\u043a\u0435\u043d\u044b \u2014 \u043e\u043d \u0432\u0441\u0451 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0436\u0443\u0451\u0442 \u0438 \u0440\u0443\u0433\u0430\u0435\u0442\u0441\u044f. \u041e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044f\u044f \u043d\u0435\u0440\u0435\u0448\u0451\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u2014 \u043a\u0430\u043a \u0441\u043e\u043e\u0431\u0449\u0438\u0442\u044c \u0436\u0435\u043b\u0430\u044e\u0449\u0435\u043c\u0443 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044e \u043e\u0431 \u043e\u0448\u0438\u0431\u043a\u0435? \u041d\u0430 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0440\u0430\u0431\u043e\u0447\u0430\u044f \u043c\u044b\u0441\u043b\u044c \u2014 \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0442\u044c \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 URL-callback, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d \u043e\u0442\u0447\u0451\u0442 \u043e\u0431 \u043e\u0448\u0438\u0431\u043a\u0435. \u041c\u044b\u0441\u043b\u044c \u043f\u043e\u043a\u0430 \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u0442\u044c \u043d\u0435 \u0442\u043e\u0440\u043e\u043f\u043b\u044e\u0441\u044c.<\/p>\n \u0412\u0442\u043e\u0440\u0430\u044f \u043d\u0435\u0440\u0435\u0448\u0451\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u2014 \u044d\u0442\u043e selinux. \u0422\u0430\u043a \u043a\u0430\u043a \u043c\u043e\u0434\u0443\u043b\u044c cryptography \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u0438\u0445 \u043d\u0430\u0434\u043e \u0432\u0441\u0435 \u043f\u043e\u043c\u0435\u0442\u0438\u0442\u044c \u0442\u0438\u043f\u043e\u043c lib_t. \u0412\u0438\u0434\u0438\u043c\u043e, \u043d\u0435 \u0432\u0441\u0435 \u0435\u0449\u0451 \u043d\u0430\u0448\u0451\u043b, \u0442\u0430\u043a \u0447\u0442\u043e \u043f\u043e\u043a\u0430 \u0447\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u043b selinux. \u0414\u043e\u0431\u0430\u0432\u043b\u044f\u044e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u0442\u0438\u043f\u043e\u0432 \u0434\u043b\u044f \u0444\u0430\u0439\u043b\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 semanage fcontext -a -t <\u0442\u0438\u043f> ‘<regex-\u043f\u0443\u0442\u044c>’.<\/p>\n \u0415\u0441\u043b\u0438 \u043a\u043e\u0433\u043e-\u0442\u043e \u0437\u0430\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432\u0430\u043b \u043f\u043e\u043b\u043d\u044b\u0439 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434, \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u043c\u043e\u0436\u043d\u043e \u0437\u0434\u0435\u0441\u044c<\/a>. \u041b\u0438\u0446\u0435\u043d\u0437\u0438\u044f \u2014 \u0434\u0435\u043b\u0430\u0439\u0442\u0435 \u0447\u0442\u043e \u0445\u043e\u0442\u0438\u0442\u0435; \u0435\u0441\u043b\u0438 \u043a\u043e\u0434 \u0432\u0430\u043c \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u0441\u044f \u2014 \u0442\u043e \u0438 \u0445\u043e\u0440\u043e\u0448\u043e.<\/p>\n \u0420\u0443\u0433\u0430\u0439\u0442\u0435 \ud83d\ude42 \t<\/p>\nhogwartshat.conf<\/b><\/p>\n\n <VirtualHost *:80> ServerName hh.gsk.loc # \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b WSGI-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 WSGIDaemonProcess hogwartshat user=hogwartshat group=hogwartshat threads=10 WSGIScriptAlias \/ \/var\/www\/flask\/hogwartshat\/hogwartshat.py WSGIScriptReloading On # \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 <Location \/> AuthType Kerberos AuthName "HogwartsHat" # \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c \u043e\u0442\u043a\u0430\u0442 \u043d\u0430 Basic Auth KrbDelegateBasic On KrbServiceName HTTP\/garage.gsk.loc@GSK.LOC KrbMethodNegotiate On # \u0435\u0441\u043b\u0438 \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u0443 - \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u0451\u0442, \u043f\u043e\u0447\u0435\u043c\u0443 - \u043d\u0435 \u043f\u043e\u043d\u044f\u043b KrbMethodK5Passwd On KrbAuthRealms GSK.LOC Krb5KeyTab \/etc\/httpd\/conf\/keytab AuthBasicProvider PAM # \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u0435 \u043d\u0430 \u0444\u0430\u0439\u043b \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 PAM \u0438\u0437 \/etc\/pam.d AuthPAMService garage Require valid-user # \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u044b \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442 \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0441\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u0438\u0437 sssd \u0447\u0435\u0440\u0435\u0437 DBus LookupUserGECOS REMOTE_USER_FULLNAME LookupUserAttr uid REMOTE_USER_ID LookupUserAttr krbLastSuccessfulAuth REMOTE_USER_LASTGOODAUTH LookupUserAttr krbLastFailedAuth REMOTE_USER_LASTBADAUTH LookupUserGroups REMOTE_USER_GROUPS ":" # \u0422\u0430\u0439\u043c\u0430\u0443\u0442 \u043c\u0435\u043d\u044c\u0448\u0435 1 \u0441 (1000 \u043c\u0441) \u0441\u043c\u044b\u0441\u043b\u0430 \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 - DBus \u0438 LDAP \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0435 \u0443\u0441\u043f\u0435\u0432\u0430\u044e\u0442 \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 20-30% \u0441\u043b\u0443\u0447\u0430\u0435\u0432 LookupDbusTimeout 2000 <\/Location> <Directory \/var\/www\/flask\/hogwartshat> WSGIProcessGroup hogwartshat WSGIApplicationGroup %{GLOBAL} <\/Directory> LogLevel warn ErrorLog logs\/hogwartshat_error.log CustomLog logs\/hogwartshat_access.log combined <\/VirtualHost> <\/pre>\n\n
\n
hogwartshat.py<\/b><\/p>\n\n #!\/usr\/bin\/env python # -*- coding: utf8 -*- import os import sys PROJECT_DIR = '\/var\/www\/flask\/hogwartshat' # \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u044f virtualenv (\u0444\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438, \u0434\u043e\u043f\u0438\u0441\u044b\u0432\u0430\u043d\u0438\u0435 \u0432 \u043d\u0430\u0447\u0430\u043b\u043e PATH \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430 \u0441 virtualenv) activate_this = os.path.join(PROJECT_DIR, 'bin', 'activate_this.py') execfile(activate_this, dict(__file__=activate_this)) sys.path.append(PROJECT_DIR) from app import app as application # \u0432 instance.py - \u043a\u043b\u044e\u0447\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f application.config.from_object('app.config') application.config.from_pyfile('..\/instance.py') <\/pre>\nviews.py, load_user_from_request()<\/b><\/p>\n\n @login_manager.request_loader def load_user_from_request(req): logging.debug('req_loader env vars: %s' % str(req.environ)) uid = req.environ.get('REMOTE_USER') if uid is None: login_manager.login_message = 'User is not authenticated by HTTPD' return None try: return HTTPDPoweredUser( req.environ.get(app.config.get('HTTPD_NAME_ATTR')), req.environ.get(app.config.get('HTTPD_FULLNAME_ATTR')), req.environ.get(app.config.get('HTTPD_UID_ATTR')), req.environ.get(app.config.get('HTTPD_LAST_GOOD_AUTH_ATTR')), req.environ.get(app.config.get('HTTPD_LAST_FAILED_AUTH_ATTR')), req.environ.get(app.config.get('HTTPD_GROUPS_ATTR')) ) except AttributeError: login_manager.login_message = 'One of the required HTTPD_* attributes not found in request' return None <\/pre>\nviews.py, index()<\/b><\/p>\n\n @app.route('\/', methods=['GET']) @login_required def index(): if current_user is not None: cookie = current_user.get_auth_token() expire_date = datetime.utcnow() + timedelta(hours=app.config.get('JWT_EXPIRE_TIME_HOURS')) response = make_response(render_template('index.html', user=current_user, cookie=cookie)) response.set_cookie( app.config.get('JWT_COOKIE_NAME'), value=cookie, expires=expire_date, domain=app.config.get('JWT_COOKIE_DOMAIN'), path=app.config.get('JWT_COOKIE_PATH'), secure=app.config.get('SESSION_COOKIE_SECURE') ) logging.debug('jwt response: %s' % str(response)) return response else: abort(403) <\/pre>\nusers.py, get_auth_token()<\/b><\/p>\n\n def get_auth_token(self): tokens = { 'exp': datetime.utcnow() + timedelta(hours=app.config.get('JWT_EXPIRE_TIME_HOURS')), 'nbf': datetime.utcnow(), 'iss': app.config.get('JWT_ISSUER_NAME'), 'aud': app.config.get('JWT_URN') + 'all', 'uid': self.uid, 'fullname': self.fullname, 'groups': self.groups } logging.debug('jwt tokens: %s' % str(tokens)) cookie = jwt.encode(tokens, app.config.get('JWT_PRIVATE_KEY'), algorithm=app.config.get('JWT_ALG')) logging.debug('jwt cookie: %s' % str(cookie)) return cookie <\/pre>\nviews.py, status()<\/b><\/p>\n\n @app.route('\/status', methods=['GET']) @login_required def status(): auth_cookie = request.cookies.get(app.config.get('JWT_COOKIE_NAME')) logging.debug('cookie: %s' % str(auth_cookie)) tokens = {} error_message = '' if auth_cookie is not None: try: tokens = jwt.decode( auth_cookie, app.config.get('JWT_PUBLIC_KEY'), audience=app.config.get('JWT_URN') + 'all', issuer=app.config.get('JWT_ISSUER_NAME') ) nbf = datetime.utcfromtimestamp(tokens.get('nbf')) tokens['nbf'] = '(' + str(nbf) + ') ' + str(tokens.get('nbf')) exp = datetime.utcfromtimestamp(tokens.get('exp')) tokens['exp'] = '(' + str(exp) + ') ' + str(tokens.get('exp')) logging.debug('cookie decoded successfully') except jwt.DecodeError: logging.debug('status: jwt.DecodeError') error_message = 'Failed to decode provided JWT' except jwt.ExpiredSignatureError: logging.debug('status: jwt.ExpiredSignatureError') error_message = 'JWT is expired' except jwt.InvalidIssuerError: logging.debug('status: jwt.InvalidIssuerError') error_message = 'JWT is issued by a wrong issuer' except jwt.InvalidAudienceError: logging.debug('status: jwt.InvalidAudienceError') error_message = 'JWT is issued for another audience' else: error_message = 'No JWT cookie received' logging.debug('tokens: %s' % str(tokens)) attr_error = False if current_user is not None else True return render_template( 'status.html', error=False if error_message == '' else True, error_message=error_message, tokens=tokens, attr_error=attr_error, user=current_user ) <\/pre>\n openssl ecparam -genkey -name secp521r1 -noout -out hogwartshat_key.pem # p521 - \u043d\u0435 \u043e\u043f\u0435\u0447\u0430\u0442\u043a\u0430 openssl ec -in hogwartshat_key.pem -pubout -out hogwartshat_pub.pem <\/pre>\n
views.py, return_to()<\/b><\/p>\n\n @app.route('\/return_to', methods=['GET']) @login_required def return_to(): app_id = request.args.get('appid') data = request.args.get('data') if app_id is None: return make_error_page('No application ID provided', str(request.url)), 400 elif app_id not in app.config.get('APPS_PUBLIC_KEYS').keys(): return make_error_page('Unknown application ID provided', str(request.url)), 403 if data is None: return make_error_page('Application provided empty request', str(request.url)), 400 else: try: tokens = jwt.decode( data, app.config.get('APPS_PUBLIC_KEYS')[app_id], audience=app.config.get('JWT_ISSUER_NAME'), issuer=app.config.get('JWT_URN') + app_id ) return_url = tokens.get('return_url') if current_user is not None: cookie = current_user.get_auth_token() expire_date = datetime.utcnow() + timedelta(hours=app.config.get('JWT_EXPIRE_TIME_HOURS')) response = make_response(redirect(str(return_url), code=301)) response.set_cookie( app.config.get('JWT_COOKIE_NAME'), value=cookie, expires=expire_date, domain=app.config.get('JWT_COOKIE_DOMAIN'), path=app.config.get('JWT_COOKIE_PATH'), secure=app.config.get('SESSION_COOKIE_SECURE') ) logging.debug('jwt response: %s' % str(response)) return response except jwt.DecodeError: return make_error_page('Failed to decode provided JWT', str(request.url)), 412 except jwt.ExpiredSignatureError: return make_error_page('JWT is expired', str(request.url)), 412 except jwt.InvalidIssuerError: return make_error_page('JWT is issued by a wrong issuer', str(request.url)), 412 except jwt.InvalidAudienceError: return make_error_page('JWT is issued for another audience', str(request.url)), 412 return str(request.args) <\/pre>\n
![\"image\"\/](\"http:\/\/habrastorage.org\/files\/0f0\/c99\/2ac\/0f0c992ac8344342be42cb40c3f38b55.png\")
<\/p>\n
![\"image\"\/](\"http:\/\/habrastorage.org\/files\/26f\/029\/bd4\/26f029bd49814215b166b97e3fd4c191.png\")
<\/p>\n
![\"image\"\/](\"http:\/\/habrastorage.org\/files\/e61\/345\/e47\/e61345e47e76420fbb60381e225ca215.png\")
<\/p>\ndemo, __init__.py<\/b><\/p>\n\n import jwt import logging.config from datetime import datetime, timedelta from flask import Flask, redirect, render_template, get_flashed_messages from flask_login import LoginManager, UserMixin, login_required, current_user app = Flask(__name__) app.config['SECRET_KEY'] = 'the session is unavailable because no secret key was set.' login_manager = LoginManager() login_manager.init_app(app) key = '''-----BEGIN EC PRIVATE KEY----- -----END EC PRIVATE KEY-----''' hh_pubkey = '''-----BEGIN PUBLIC KEY----- -----END PUBLIC KEY-----''' logging.config.fileConfig('logging.conf') class JWTPoweredUser(UserMixin): def __init__(self, fullname, uid, groups): for attr in [fullname, uid, groups]: if attr is None: raise AttributeError('%s cannot be None' % attr.__name__) self.fullname = fullname self.uid = uid self.groups = groups def is_anonymous(self): return False def is_active(self): return True def is_authenticated(self): return True def get_id(self): return unicode(self.uid) @login_manager.request_loader def load_user_from_request(req): cookie = req.cookies.get('gsk_auth') if cookie is None: login_manager.login_message = 'no cookie' return None try: tokens = jwt.decode(cookie, hh_pubkey, issuer='gsk:hogwartshat', audience='gsk:all') except jwt.ExpiredSignatureError: login_manager.login_message = 'expired' return None except jwt.DecodeError: login_manager.login_message = 'decode error' return None except jwt.InvalidIssuerError: login_manager.login_message = 'invalid issuer' return None except jwt.InvalidAudienceError: login_manager.login_message = 'invalid audience' return None return JWTPoweredUser(tokens.get('fullname'), tokens.get('uid'), tokens.get('groups')) @login_manager.unauthorized_handler def unauthorized(): data = jwt.encode({ 'iss': 'gsk:test', 'aud': 'gsk:hogwartshat', 'nbf': datetime.utcnow(), 'exp': datetime.utcnow() + timedelta(minutes=1), 'return_url': 'http:\/\/jwttest.gsk.loc' }, key, algorithm='ES512') logging.debug('jwt request: %s' % data) url = 'http:\/\/hh.gsk.loc\/return_to?appid=test&data=%s' % data logging.debug('jwt return_to: %s' % url) page = render_template( 'error.html', error=login_manager.login_message, url=url ) logging.debug('jwt page: %s' % page) return page, 403 @app.route('\/', methods=['GET']) @login_required def index(): return render_template('index.html', user=current_user) <\/pre>\n
![\"image\"\/](\"http:\/\/habrastorage.org\/files\/a15\/733\/a59\/a15733a5923f44b59bba9b55673f40ac.png\")
<\/p>\n
![\"image\"\/](\"http:\/\/habrastorage.org\/files\/bd9\/664\/9e4\/bd96649e489746aa8a84081adfa2bb37.png\")
<\/p>\n