Son zamanlarda superset'i web uygulamamla entegre ettim, böylece web uygulamam tarafından kimliği doğrulanmış bir kullanıcı superset'e girebilir ve yalnızca bağlantıyı tıklatarak rollerine göre panoları görüntüleyebilir/düzenleyebilir/oluşturabilir, hatta giriş yapmanıza gerek kalmaz. Ne bu ben vardı, bypass giriş için hangi ben anılan bu madde.
Oturum açmayı atlamak için kullandığım özel SecurityManager
class CustomAuthDBView(AuthDBView):
@expose('/login/', methods=['GET', 'POST'])
def login(self):
redirect_url = self.appbuilder.get_url_for_index
user_name = request.args.get('username')
user_role = request.args.get('role')
if user_name is not None:
user = self.appbuilder.sm.find_user(username=user_name)
if not user:
role = self.appbuilder.sm.find_role(user_role)
user = self.appbuilder.sm.add_user(user_name, user_name, 'last_name', user_name + "@domain.com", role, password = "password")
if user:
login_user(user, remember=False)
return redirect(redirect_url)
else:
print('Unable to auto login', 'warning')
return super(CustomAuthDBView,self).login()
class CustomSecurityManager(SupersetSecurityManager):
authdbview = CustomAuthDBView
def __init__(self, appbuilder):
super(CustomSecurityManager, self).__init__(appbuilder)
Yani url'yi kullanarak yukarıdaki koda göre http://localhost:8088/login?username=John john kullanıcısına dahili olarak giriş yapacak veya John kullanıcısı yoksa, web uygulamamdaki kullanıcı rolüne dayanan bir rolle bir hesap oluşturulur
Şimdi sorun, bu url'yi tahmin edebilen herkes http://localhost:8088/login?username=USER_NAME bu korumak için ya da ne kadar güvenli üst hesap oluşturmak olabilir '/login' nokta