Ostatnio mam zintegrowany nadzbiór ze swoją aplikacją internetową, aby, gdy użytkownik uwierzytelniony za pomocą mojej aplikacji sieci web, może wejść w nadzbiór i przeglądać/edytować/tworzyć pulpity w zależności od ich roli, po prostu klikając na link, nawet nie trzeba się logować. Do tego musiałem obejść login, na który powołał się w tym artykule.
Niestandardowy menedżer bezpieczeństwa, który użyłem do obejścia logowania
class CustomAuthDBView(AuthDBView):
@expose('/login/', methods=['GET', 'POST'])
def login(self):
redirect_url = self.appbuilder.get_url_for_index
user_name = request.args.get('username')
user_role = request.args.get('role')
if user_name is not None:
user = self.appbuilder.sm.find_user(username=user_name)
if not user:
role = self.appbuilder.sm.find_role(user_role)
user = self.appbuilder.sm.add_user(user_name, user_name, 'last_name', user_name + "@domain.com", role, password = "password")
if user:
login_user(user, remember=False)
return redirect(redirect_url)
else:
print('Unable to auto login', 'warning')
return super(CustomAuthDBView,self).login()
class CustomSecurityManager(SupersetSecurityManager):
authdbview = CustomAuthDBView
def __init__(self, appbuilder):
super(CustomSecurityManager, self).__init__(appbuilder)
Tak więc, zgodnie z powyższym kodem, za pomocą adresu url http://localhost:8088/login?username=John czy użytkownik John logować się wewnętrznie lub, jeśli użytkownik John nie istnieje, konto jest tworzone z pewną rolą, opartej na roli użytkownika w mojej aplikacji internetowej
Teraz problem w tym, że każdy, kto może odgadnąć ten adres URL http://localhost:8088/login?username=USER_NAME mogą utworzyć swoje konto w суперсете, tak jak to można chronić i zabezpieczyć '/login' punkt końcowy