CodeGym /Cours /Docker SELF /Sécurité et gestion des accès

Sécurité et gestion des accès

Docker SELF

Niveau 24 , Leçon 0

Disponible

6.1 Authentification et autorisation des utilisateurs

À ce stade, on va voir comment assurer la sécurité de notre application multi-conteneurs et gérer les accès. Cela inclut l'authentification des utilisateurs, le chiffrement des données, la protection de l'API et la configuration de connexions sécurisées entre les services.

Objectif: assurer que seuls les utilisateurs enregistrés et authentifiés puissent interagir avec l'application et effectuer des opérations.

Implémentation de JWT (JSON Web Token) pour l'authentification

Étape 1. Installation des bibliothèques nécessaires :

Terminal


pip install Flask-JWT-Extended

Étape 2. Configuration de JWT dans l'application Flask :

Ajoutez les modifications suivantes dans le fichier backend/app/__init__.py :

Python


from flask_jwt_extended import JWTManager

app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'postgresql://taskuser:taskpassword@database:5432/taskdb'
app.config['JWT_SECRET_KEY'] = 'your_jwt_secret_key'  # Remplacez par votre clé secrète
db = SQLAlchemy(app)
jwt = JWTManager(app)
        
from app import routes

Étape 3. Création des routes pour l'enregistrement et l'autorisation :

Ajoutez les routes suivantes dans le fichier backend/app/routes.py :

Python


from flask_jwt_extended import create_access_token, jwt_required, get_jwt_identity
from werkzeug.security import generate_password_hash, check_password_hash
from app.models import User, Task
        
@app.route('/register', methods=['POST'])
def register():
    data = request.get_json()
    hashed_password = generate_password_hash(data['password'], method='sha256')
    new_user = User(username=data['username'], password=hashed_password)
    db.session.add(new_user)
    db.session.commit()
    return jsonify({'message': 'Utilisateur enregistré avec succès'}), 201
        
@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    user = User.query.filter_by(username=data['username']).first()
    if not user or not check_password_hash(user.password, data['password']):
        return jsonify({'message': 'Identifiants invalides'}), 401

    access_token = create_access_token(identity=user.id)
    return jsonify({'access_token': access_token}), 200

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])

Étape 4. Mise à jour du modèle User pour le stockage des mots de passe :

Mettez à jour le fichier backend/app/models.py :

Python


from app import db

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(120), nullable=False)
    tasks = db.relationship('Task', backref='owner', lazy=True)

6.2 Cryptage des données

Objectif : assurer la protection des données lors de leur transmission entre le client et le serveur.

Utilisation de HTTPS

Étape 1. Configuration de Nginx comme reverse proxy avec support HTTPS :

Crée un fichier nginx.conf dans le répertoire racine du projet :

Texte


server {
    listen 80;
    server_name your_domain.com;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Étape 2. Création du Dockerfile pour Nginx :

Crée un fichier Dockerfile dans le répertoire nginx:

dockerfile


FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf

Étape 3. Ajouter Nginx dans compose.yaml:

Met à jour le fichier compose.yaml en ajoutant un service pour Nginx :

Yaml


version: '3'

services:
  frontend:
    build: ./frontend
    ports:
      - "3000:3000"
    networks:
      - task-network
        
  backend:
    build: ./backend
    ports:
      - "5000:5000"
    depends_on:
      - database
    networks:
      - task-network
    environment:
      - DATABASE_URL=postgresql://taskuser:taskpassword@database:5432/taskdb
        
  database:
    image: postgres:13
    environment:
      - POSTGRES_DB=taskdb
      - POSTGRES_USER=taskuser
      - POSTGRES_PASSWORD=taskpassword
    networks:
      - task-network
    volumes:
      - db-data:/var/lib/postgresql/data
        
  nginx:
    build: ./nginx
    ports:
      - "80:80"
    depends_on:
      - frontend
      - backend
    networks:
      - task-network
        
networks:
  task-network:
    driver: bridge
        
volumes:
  db-data:

6.3 Obtenir un certificat SSL avec Let's Encrypt

Étape 1. Installation de Certbot :

Suivez les instructions sur le site officiel de Certbot pour installer Certbot.

Étape 2. Obtention du certificat :

Terminal


sudo certbot certonly --standalone -d your_domain.com

Étape 3. Configuration de Nginx pour utiliser SSL :

Mettez à jour nginx.conf pour utiliser SSL :

Text


server {
    listen 80;
    server_name your_domain.com;
    return 301 https://$host$request_uri;
}
        
server {
    listen 443 ssl;
    server_name your_domain.com;
        
    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Étape 4. Mise à jour du Dockerfile pour Nginx afin de copier les certificats :

dockerfile


FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf
COPY /etc/letsencrypt /etc/letsencrypt

6.4 Protection des API

Objectif: limiter l'accès à l'API et prévenir les requêtes non autorisées.

Utiliser des JWT pour sécuriser les routes

On a déjà ajouté une protection pour les routes de tâches en utilisant le décorateur @jwt_required(). Assure-toi que toutes les routes sensibles soient protégées avec ce décorateur :

Python


from flask_jwt_extended import jwt_required, get_jwt_identity

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])

Limiter l'accès à la base de données

Objectif: prévenir l'accès non autorisé à la base de données.

Configurer les rôles et privilèges

Étape 1. Créer un utilisateur avec des privilèges limités :

SQL


CREATE USER limited_user WITH PASSWORD 'limited_password';
GRANT CONNECT ON DATABASE taskdb TO limited_user;
GRANT USAGE ON SCHEMA public TO limited_user;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO limited_user;

Étape 2. Mettre à jour la variable d'environnement DATABASE_URL :

Mets à jour la variable d'environnement DATABASE_URL dans le fichier compose.yaml :

Yaml


environment:
  - DATABASE_URL=postgresql://limited_user:limited_password@database:5432/taskdb

Précédent Leçon précédente

Suivant Leçon suivante

Commentaires

TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION