使用python后端的客户端授权
我正在编写管理nginx(域、重写等)、svn和其他服务的面板。为此,我编写的后端将在root(更改nginx配置、重新加载、更改用户密码等)和客户端(控制台客户端和web应用)上工作 该应用程序在unix套接字上工作,我为其制定了非常简单的协议:使用python后端的客户端授权,python,security,sockets,authorization,Python,Security,Sockets,Authorization,我正在编写管理nginx(域、重写等)、svn和其他服务的面板。为此,我编写的后端将在root(更改nginx配置、重新加载、更改用户密码等)和客户端(控制台客户端和web应用)上工作 该应用程序在unix套接字上工作,我为其制定了非常简单的协议: \0\0\0\0user\0key\0module\0command\0data\0 这很简单。客户端将命令和数据发送到后端,fox ex: \0\0\0\0morsik\0\0nginx\0add_domain\0www.domain.tld s
\0\0\0\0user\0key\0module\0command\0data\0
这很简单。客户端将命令和数据发送到后端,fox ex:
\0\0\0\0morsik\0\0nginx\0add_domain\0www.domain.tld something\0
问题是,如何验证用户是否真的是morsik?对于web界面,我不必这样做——web页面有自己的授权,这样我就可以发送一些密钥,这些密钥将适用于没有人知道的每个用户。
问题是是否有人可以访问ssh。然后他可以编写一个简单的客户端来欺骗用户名,然后他可以更改其他用户配置
那么,我如何才能为用户进行正确的授权呢?不要重新发明轮子我觉得这次讨论很有启发性:
- 解释套接字身份验证的概念
- 有用的细节
- 这也可能有效,尽管不太方便
- 仅为应用程序管理员创建组等