Я работаю над проектом, в котором я должен соответствовать некоторым нормативным требованиям, которые требуют, чтобы по крайней мере 3 из 5 авторизованных пользователей запускали серверную веб-службу, которая обрабатывает очень конфиденциальную информацию с использованием предварительно назначенных паролей.
На данный момент прототип одобрен и работает с использованием Python wsgiref.simple_server (), который я запрограммировал вручную запрашивать пароли. Теперь, когда прототип был одобрен, мне нужно перенести веб-приложение в производственную среду, где мне нужно будет запустить его. Apache и mod_wsgi.
У меня два вопроса:
Сейчас я использую тонкую оболочку Python для expect чтобы программно разрешить удаленный ввод пароля. Как заставить Apache запрашивать пароль перед запуском? Это должно быть в app.wsgi сценарий, который выполняется mod_wsgi? Как это будет работать, если Apache демонизирует и, следовательно, не имеет стандартного ввода!
Придется ли мне беспокоиться о перезагрузке кода? Вероятно, у Apache есть какое-то максимальное количество запросов, прежде чем он убьет и перезапустит другой рабочий процесс, но потребуется ли для этого также запрос пароля?
Любая помощь здесь будет оценена.
Пользователь сможет перезагрузить процессы wsgi (следовательно, обновить код, который обслуживает apache), коснувшись файла .wsgi. (например, коснитесь /path/to/file.wsgi)
Вы можете защитить эту часть, используя разрешения Linux и sudo, чтобы они потребовали ввести свой собственный системный пароль.
HTTP / дайджест-аутентификация через modwsgi, поскольку провайдер доступа должен работать в вашей ситуации. Подробная документация по этому поводу доступна на сайте сайт modwsgi.
Использование HTTP-аутентификации - более общепринятый способ аутентификации по сравнению с expect и stdin.
Что касается перезагрузки кода, пока вы не устанавливаете значение максимального количества запросов, вам нужно беспокоиться о перезапусках. С HTTP-аутентификацией перезагрузки в любом случае не должны иметь значения.