基于每个数据库的 CouchDB 授权

Question

我正在开发 CouchDB 支持的应用程序。本质上，我想为我的应用程序的每个用户创建一个数据库。为此，管理员用户将创建数据库，但接下来，用户将需要访问他们的数据库（使用基于 SSL 的 HTTP Auth）。我花了很长时间才弄清楚这一点。

我找到的最好的资源是在 CouchDB wiki 中，在这个链接上：

http://wiki.apache.org/couchdb/Security_Features_Overview#Authorization

它建议您可以通过创建一个名为“_security”的文档来设置每个数据库的授权，您可以在其中添加管理员和读者的哈希值。当我尝试创建该文档时，我收到的消息是“错误的特殊文档成员：_security”。

$ curl -X GET http://localhost:5984
{"couchdb":"Welcome","version":"1.0.1"}

任何帮助将不胜感激！

干杯，

亚伦。

Answer 1

这种方法应该没有问题。

假设您有一个数据库“测试”，并且已经有一个管理员帐户：

curl -X PUT http://localhost:5984/test -u "admin:123"

现在您可以为其创建一个 _security 文档：

curl -X PUT http://localhost:5984/test/_security -u "admin:123" -d '{"admins":{"names":[], "roles":[]}, "readers":{"names":["joe"],"roles":[]}}'

它们只有用户“joe”才能读取数据库。要创建用户，您必须已经拥有 sha1 哈希密码：

curl -X POST http://localhost:5984/_users -d '{"_id":"org.couchdb.user:joe","type":"user","name":"joe","roles":[],"password_sha":"c348c1794df04a0473a11234389e74a236833822", "salt":"1"}' -H "Content-Type: application/json"

该用户的密码“123”使用 sha1 和 salt“1” (sha1("123"+"1")) 进行哈希处理，因此他可以读取数据库：

curl -X GET http://localhost:5984/test -u "joe:123"

他现在可以阅读该数据库上的任何文档，而其他用户（除了他和管理员）不能。

更新：作家安全

上面的方法会出现reader问题，但是这里的reader权限实际上是指“读/写通用文档”，所以它允许写除design-docs之外的文档。 _security 文档中的“管理员”可以在此数据库中编写设计文档。

另一种方法，取自您自己的答案，是“validate_doc_update”，您可以在文件中有一个 validate_doc_update，如下所示：

function(new_doc, old_doc, userCtx) {
  if(!userCtx || userCtx.name != "joe") {
      throw({forbidden: "Bad user"});
  }
}

并将其推入 couchdb 设计中：

curl -X PUT http://localhost:5984/test/_design/security -d "{ \"validate_doc_update\": \"function(new_doc,doc,userCtx) { if(userCtx || userCtx.name != 'joe') {throw({forbidden: 'Bad user'})}}\"}" --user 'admin:123'

他们“joe”可以使用基本身份验证写入数据库：

curl -X PUT http://localhost:5984/test/foobar -d '{"foo":"bar"}' -u 'joe:123'

正如您还提到的，您可以使用 _session api 获取用于身份验证的 cookie：

curl http://localhost:5984/_session -v -X POST -d 'name=joe&password=123' -H "Content-Type: application/x-www-form-urlencodeddata"

这将返回如下标题：

Set-Cookie: AuthSession=am9lOjRDRDE1NzQ1Oj_xIexerFtLI6EWrBN8IWYWoDRz; Version=1; Path=/; HttpOnly

因此，您可以在您的下一个请求中包含 cookie“AuthSession=am9lOjRDRDE1NzQ1Oj_xIexerFtLI6EWrBN8IWYWoDRz”，它们将通过身份验证。

Answer 2

我一直在做更多的研究和测试，我想总结一下我已经到了哪里，还有什么对我不起作用。

首先，向阅读此问题的人道歉：我一直在寻找方法来设置人们写入而不是读取数据库的权限。事实证明这是一个很大的区别：创建“阅读器”的技术与创建“作者”的技术完全不同（这个术语实际上并不存在，尽管我想知道为什么）。

简而言之：您必须将用户添加到 _users 数据库，该数据库是有权访问您的 CouchDB 实例中的任何数据库的用户列表。我可以通过发出类似于以下的命令来做到这一点：

curl -X PUT http://admin:password@localhost:5984/_users/org.couchdb.user:username -d '{"type":"user", "hashed_password":"2bf184a2d152aad139dc4facd7710ee848c2af27", "name":"username", "roles":[]}'

请注意，您显然需要使用“org.couchdb.user”前缀为用户名命名空间。我使用了 Ruby 散列方法来获取 hashed_pa​​ssword 值：

require 'digest/sha1'
pass_hash = Digest::SHA1.hexdigest(password)

这会让一个明显有效的用户进入数据库。下一步是将该用户指定为我创建的新数据库的“作者”（哈，又来了！）。所以我可能会这样做：

curl -X PUT http://admin:password@localhost:5984/newdatabase

然后

curl -X PUT http://admin:password@localhost:5984/newdatabase/_design/security -d @security.json

该 .json 文件包含一个用于“validate_doc_update”键的 Javascript 函数，该函数如下所示：

function(new_doc, old_doc, userCtx) {
     if(userCtx.name != username) {
         throw({forbidden: "Please log in first."});
     }
   }

这是一个环形交叉路口，但它是有道理的。但是，我现在遇到了一个问题：显然 userCtx 变量在用户通过身份验证之前不会被填充。 This article 建议您只需通过 HTTP 请求将凭据传递给特殊的 _session 数据库，如下所示：

curl -X POST http://username:password@localhost:5984/_session

我可以为我的管理员用户执行此操作，并且 userCtx 变量将被填充。但是对于我新创建的用户，它失败了：

$ curl http://org.couchdb.user:username:password@localhost:5984/_session
{"ok":true,"userCtx":{"name":null,"roles":[]},"info":{"authentication_db":"_users","authentication_handlers":["cookie","oauth","default"]}}

注意 userCtx 哈希为空。我想知道那个命名空间的东西是否导致了问题？它里面有一个怪诞的冒号，所以也许密码有些混乱？我试过在没有命名空间的情况下制作它，但它根本不起作用；至少在这里我的请求似乎正在访问数据库并得到响应。

我被困在这一点上。如果有人可以检查我迄今为止的假设和进展，我希望我们都能弄清楚如何使这项工作发挥作用。

谢谢！

亚伦。

Answer 3

您可能需要查看 Matt Woodward 的 - The Definitive Guide to CouchDB Authentication and Security http://blog.mattwoodward.com/2012/03/definitive-guide-to-couchdb.html