Produits Entr'ouvert » Hobo

ou OAuth2

Dans un message sur la liste, j'écris :

Pour l'authentification, le déroulé devrait être selon moi le suivant, d'abord une connexion initiale par username/password, qui aurait été défini par un appel à createsuperuser, ensuite l'admin ajoute un authentic et celui-ci prend la main, SSO etc.

Et dans une discussion je-ne-sais-plus-quand-ni-où, on a causé de django-mellon pour l'auth (en fait c'était pour passerelle, mais ça doit se faire pour hobo, àmha)

Il y avait un truc pour appliquer login_required à toute une hiérarchie, c'est utilisé dans Passerelle, decorated_includes(login_required, ...); ça me semble plus propre que devoir ajouter des login_required; ça ne pourrait pas être utilisé ici ?

~~~

Il reste toujours un truc que je n'aime pas dans la manière dont les settings se font ici, le fonctionnement que j'aimais bien, c'était :

settings.py
....

# un tas de trucs qu'on ne voudra jamais changer, que je trouve stupide de copier/coller de configs en configs
# et si ça pouvait être une valeur par défaut qui fonctionne, qu'on ne soit pas obligé de mettre ça pour fonctionner
# ce serait encore mieux.
MELLON_ATTRIBUTE_MAPPING = {
    'username': '{attributes[email][0]}',
    'email': '{attributes[email][0]}',
    'first_name': '{attributes[first_name][0]}',
    'last_name': '{attributes[last_name][0]}',
}

from local_settings import *  # dans ce fichier un ENABLE_MELLON = True

if ENABLE_MELLON:
  # un tas de trucs qui sont toujours pareils quand on décide d'activer Mellon
  INSTALLED_APPS += ('mellon',)
  AUTHENTICATION_BACKENDS = ( 'mellon.backends.SAMLBackend',)
  LOGIN_URL = 'mellon_login'
  LOGOUT_URL = 'mellon_logout'

Bref, est-ce qu'avec la manière dont on gère les settings aujourd'hui, il y a moyen d'approcher ça, de ne pas devoir recopier de fichiers de configs en fichiers de configs des trucs comme MELLON_ATTRIBUTE_MAPPING ou LOGIN_URL = 'mellon_login', d'avoir uniquement à définir les paramètres pour les valeurs qui ne se devinent pas (genre l'emplacement d'une clé) ?

Bref, est-ce qu'avec la manière dont on gère les settings aujourd'hui, il y a moyen d'approcher ça, de ne pas devoir recopier de fichiers de configs en fichiers de configs des trucs comme MELLON_ATTRIBUTE_MAPPING ou LOGIN_URL = 'mellon_login', d'avoir uniquement à définir les paramètres pour les valeurs qui ne se devinent pas (genre l'emplacement d'une clé) ?

Pour moi mais Benjamin ou Thomas vont peut être me corriger. Pour atteindre ce que tu proposes avec la nouvelle configuration il faut mettre MELLON_ATTRIBUTE_MAPPING et "un tas de trucs qu'on ne voudra jamais changer" dans le default_settings.py. Pour ce qui est du ENABLE_MELLON la nouvelle politique est de ne pas ajouter de magie. Donc on aurait quelque chose comme ça dans le config_example.py :

# Dé-commenter les lignes suivantes pour activer le support de Mellon
# un tas de trucs qui sont toujours pareils quand on décide d'activer Mellon
#INSTALLED_APPS += ('mellon',)
#AUTHENTICATION_BACKENDS = ( 'mellon.backends.SAMLBackend',)
#LOGIN_URL = 'mellon_login'
#LOGOUT_URL = 'mellon_logout'

De mon côté j'ai tendance à ne pas spécialement apprécier la nouvelle configuration. Les fichiers de configuration que j'ai du faire récemment ne me convienne pas. Je pense qu'une discussion sur le sujet serait intéressante. Je pense qu'il serait utile qu'on récupère un peu de "magie" au moins dans le debian.py comme par exemple pour le sentry (#5847) mais ENABLE_MELLON est un autre exemple. Pour Montpellier je n'ai pas voulu utiliser le config.py pour le portail citoyen et authentic car pour moi on est pas prêt pour le moment. Les fichiers de configuration devienne vite trop long et pas spécialement lisible.
Un autre point moins important c'est que je ne vois pas l'intérêt d'avoir un default_settings.py + un settings.py pour moi tout pourrait rentrer dans le settings.py.

Pour moi le patch dans le settings.py n'est pas bon. Vu la politique actuelle il ne faut pas y toucher. En plus tu utilises une variable ETC_DIR qui n'est pas défini (sauf dans le paquet debian).

A la place de cette modif dans le settings.py je verrais plus un ajout dans config_example.py de :

## Django Mellon configuration
# you need to generate SSL certificates in your current directory to make it functionnal :
# openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 -out key.cert
# openssl req -x509 -new -out cert.pem -subj '/CN=whocares' -key key.cert -days 3650
# you also need to get the idp metadata and call it idp-metadata.xml
# Uncomment the following lines to enable SAML support
#INSTALLED_APPS += ('mellon',)    
#AUTHENTICATION_BACKENDS = ( 'mellon.backends.SAMLBackend',)
#LOGIN_URL = 'mellon_login'
#LOGOUT_URL = 'mellon_logout'    
#MELLON_PUBLIC_KEYS = ['cert.pem']
#MELLON_PRIVATE_KEY = 'key.cert'
#MELLON_IDENTITY_PROVIDERS = [    
#            {'METADATA': 'idp-metadata.xml',
#             'GROUP_ATTRIBUTE': 'role'},
#        ]

Pour la partie Debian je pense qu'on peut l'activer par défaut en rajoutant les lignes suivantes dans le debian/debian_config.py ces lignes :

        INSTALLED_APPS += ('mellon',)
        AUTHENTICATION_BACKENDS = ( 'mellon.backends.SAMLBackend',)
        LOGIN_URL = 'mellon_login'
        LOGOUT_URL = 'mellon_logout'
        MELLON_PUBLIC_KEYS = [os.path.join(ETC_DIR, 'cert.pem')]
        MELLON_PRIVATE_KEY = os.path.join(ETC_DIR, 'key.cert')
        MELLON_IDENTITY_PROVIDERS = [
            {'METADATA': os.path.join(ETC_DIR, 'idp-metadata.xml'),
             'GROUP_ATTRIBUTE': 'role'},
        ]

Je vois que ces patchs ont été poussés.