我如何使用repoze.who/repoze.what with SPNEGO？

Question

我正在尝试使用用Pylons编写的intranet web应用程序进行单点登录，我想使用repoze.what进行授权。我已经为Apache配置了mod_sspi，它可以正确地对用户进行身份验证并设置REMOTE_USER环境变量。但是，我不知道如何让repoze.who相信用户确实通过了身份验证。

我尝试创建一个如下所示的标识符：

class NtlmIdentifier(object):     
    def identify(self, environ):           
        if environ['AUTH_TYPE'] == 'NTLM':
            return { 'repoze.who.userid': environ['REMOTE_USER'] }

        return None

    def remember(self, environ, identity):
        pass

    def forget(self, environ, identity):
        pass

并在稍后注册中间件，如下所示：

return setup_auth(app, groups, permissions, identifiers=identifiers, authenticators=[], challengers=[])

但是似乎我的标识符的identify方法从未被框架调用过。

如何将SPNEGO/SSPI与repoze.who和repoze.what集成？

Answer 1

如果预先设置了REMOTE_USER变量(例如，由web服务器设置)，repoze.who将不会执行任何操作，甚至不会调用已注册的插件。

至于repoze.what v1，因为它是从repoze.who插件设置的，这意味着repoze.what凭证将不可用，因此用户将始终是匿名的；这在repoze.what 2(开发中)中不会成为问题。

要使一切按预期工作，您可以保留您编写的标识符，并将remote_user_key参数传递给setup_auth：

return setup_auth(app, groups, permissions, remote_user_key=None, identifiers=identifiers, authenticators=[], challengers=[])

HTH。