Yosai 安全框架简介与使用指南

2025-04-17 04:40:11作者：滕妙奇

A Security Framework for Python applications featuring Authorization (rbac permissions and roles), Authentication (2fa totp), Session Management and an extensive Audit Trail

项目地址：https://gitcode.com/gh_mirrors/yo/yosai

1. 项目介绍

Yosai 是一个基于 Python 的安全框架，提供了认证、授权和会话管理等功能，通过一个通用且直观的 API 进行操作。它受到 Java 中广泛使用的 Apache Shiro 框架的启发，但完全用 Python 语言实现。Yosai 旨在为各种类型的 Python 应用程序提供安全支持，不仅限于网络应用。

关键特性：

支持基于角色的访问控制（RBAC）
提供双因素认证，包括基于时间的一次性密码（TOTP）
内置缓存和序列化支持
完整的审计跟踪功能
集成 Web 应用程序的准备
支持 Python 3.4 及以上版本

2. 项目快速启动

首先，确保您的环境中安装了 Python 3.4 或更高版本。接下来，通过以下命令使用 pip 从 PyPI 安装 Yosai：

pip install yosai

安装完成后，您可以通过以下示例代码来进行基本的认证操作：

from yosai import Yosai
from yosai.core.authc import UsernamePasswordToken, AuthenticationException

# 初始化 Yosai 实例
yosai = Yosai(env_var='YOSAI_SETTINGS')

# 使用 Yosai 上下文管理器
with yosai.context(yosai):
    current_user = yosai.get_current_subject()
    
    # 创建用户名密码认证令牌
    authc_token = UsernamePasswordToken(username='thedude', credentials='letsgobowling')
    
    try:
        # 尝试登录
        current_user.login(authc_token)
    except AuthenticationException:
        # 处理认证异常
        pass

3. 应用案例和最佳实践

以下是一些使用 Yosai 框架的应用案例和最佳实践：

授权示例

您可以定义授权策略，如下所示，以允许具有特定角色或权限的用户执行特定操作：

from yosai import requires_role, requires_permission

@requires_role(roleid_s=['patient', 'nurse'], logical_operator='any')
def request_prescription_refill(patient, prescription):
    # 请求处方药续方的逻辑
    pass

@requires_permission(['prescription:write'])
def get_prescription_refill_requests(patient):
    # 获取待处理处方续方请求的逻辑
    pass

@requires_permission(['prescription:write:{patient.patient_id}'])
def issue_prescription(patient, prescription):
    # 为特定患者开具处方的逻辑
    pass

在 Yosai 的上下文管理器中调用这些方法：

with yosai.context(yosai):
    issue_prescription(patient)
    for prescription in get_prescription_refill_requests(patient):
        issue_prescription(patient, prescription)

双因素认证示例

双因素认证分为两步：

步骤 1：用户名密码认证

from yosai.core.authc import UsernamePasswordToken, AdditionalAuthenticationRequired

# ... 初始化 Yosai 实例和上下文

with yosai.context(yosai):
    current_user = yosai.get_current_subject()
    userpass_token = UsernamePasswordToken(username='thedude', credentials='letsgobowling')
    
    try:
        current_user.login(userpass_token)
    except AdditionalAuthenticationRequired:
        # 请求第二步认证
        pass
    except AuthenticationException:
        # 处理认证失败
        pass

步骤 2：TOTP 认证

from yosai.core.authc import TOTPToken, IncorrectCredentialsException

# ... 初始化 Yosai 实例和上下文

with yosai.context(yosai):
    current_user = yosai.get_current_subject()
    totp_token = TOTPToken(user_provided_token='user_provided_token')
    
    try:
        current_user.login(totp_token)
    except IncorrectCredentialsException:
        # 处理认证失败
        pass

4. 典型生态项目

Yosai 框架可以与多种类型的 Python 应用程序集成，包括但不限于 Web 应用程序。其灵活的设计使其适用于多种不同的使用案例，从而在开源生态系统中有广泛的应用潜力。以下是一些典型的生态项目：

Web 应用程序安全集成：与 Django 或 Flask 等网络框架集成，为 Web 应用程序提供安全支持。
桌面应用程序安全：在桌面应用程序中实现认证和授权功能。
微服务安全：在基于微服务的架构中，为各个服务提供统一的安全策略。

以上是 Yosai 安全框架的简介和使用指南，希望对您的项目开发有所帮助。

yosai