# Control de acceso
Web2py incluye un sistema de control de acceso basado en roles ([RBAC](https://en.wikipedia.org/wiki/Role-based_access_control)). Lo implementa mediante la clase Auth, que define las siguientes tablas:
- auth_user: Usuarios, (name, email address, password, status(registration pending, accepted, blocked))
- auth_group: Grupos, (role, description)
- auth_membership: relación entre usuarios y grupos
- auth_permission
- auth_event: logs
- auth_cas: Central Authentication Service (CAS)

## Identificicación
Para que los usuarios se identifiquen, han de estar registrados y hacer login.

Auth proporciona varias posibilidades para el login. Por defecto se hace uso de la tabla local de usuarios, auth_user. Pero es posible hacerlo contra otros sistemas:
- Google
- PAM
- LDAP
- Facebook
- LinkedIn
- Dropbox
- OpenID
- OAuth
- ...

Para poder utilizar Auth, es preciso cargar el siguiente código en un modelo:
```python
# echa un vistazo en los modelos de la aplicación welcome
# host names must be a list of allowed host names (glob syntax allowed)
auth = Auth(db, host_names=configuration.get('host.names'))

# -------------------------------------------------------------------------
# create all tables needed by auth, maybe add a list of extra fields
# -------------------------------------------------------------------------
auth.settings.extra_fields['auth_user'] = []
auth.define_tables(username=False, signature=False)
# pero si prefieres utilizar el nombre:
# auth.define_tables(username=True)
# signature=True añade sello de tiempo en las tablas de Auth
# Auth tiene un argumento opcional secure=True, que obliga al uso de HTTPS
```

Si hay varias aplicaciones que comparten la misma base de datos de Auth, es necesario deshabilitar las migraciones: auth.define_tables(migrate=False).

Para que Auth esté disponible es necesario que exista una acción "user" y su vista:
```python
# dentro del controlador default.py
# ---- Action for login/register/etc (required for auth) -----
def user():
    """
    exposes:
    http://..../[app]/default/user/login
    http://..../[app]/default/user/logout
    http://..../[app]/default/user/register
    http://..../[app]/default/user/profile
    http://..../[app]/default/user/retrieve_password
    http://..../[app]/default/user/change_password
    http://..../[app]/default/user/bulk_register
    use @auth.requires_login()
        @auth.requires_membership('group name')
        @auth.requires_permission('read','table name',record_id)
    to decorate functions that need access control
    also notice there is http://..../[app]/appadmin/manage/auth to allow administrator to manage users
    """
    return dict(form=auth())
```
```html
<!-- user.html -->
{{extend 'layout.html'}}

<div class="row"> 
  <div id="web2py_user_form" class="col-lg-6" style="background-color:white; margin: 0 auto 5px auto; box-shadow: 0 0 5px #a1a1a1; border-radius:5px;padding: 20px">
    <h2>
      {{=T('Sign Up') if request.args(0) == 'register' else T('Log In') if request.args(0) == 'login' else T(request.args(0).replace('_',' ').title())}}
    </h2>
    {{=form}}
    {{if request.args(0)=='login' and not 'register' in auth.settings.actions_disabled:}}
    <a href="{{=URL('user/register')}}">{{=T('Register')}}</a>
    <br/>
    {{pass}}
    {{if request.args(0)=='login' and not 'retrieve_password' in auth.settings.actions_disabled:}}
    <a href="{{=URL('user/retrieve_password')}}">{{=T('Lost your password?')}}</a>
    {{pass}}
    {{if request.args(0)=='register':}}
    <a href="{{=URL('user/login')}}">{{=T('Login')}}</a>
    {{pass}}
  </div>
</div>



{{block page_js}}
<script>
    jQuery("#web2py_user_form input:visible:enabled:first").focus();
{{if request.args(0)=='register':}}
    web2py_validate_entropy(jQuery('#auth_user_password'),100);
{{elif request.args(0)=='change_password':}}
    web2py_validate_entropy(jQuery('#no_table_new_password'),100);
{{pass}}
</script>
{{end page_js}}
```

El controlador anterior expone, automáticamente, las siguientes acciones:
- http://.../[app]/default/user/login
- http://.../[app]/default/user/register
- http://.../[app]/default/user/logout
- http://.../[app]/default/user/profile
- http://.../[app]/default/user/retrieve_password
- http://.../[app]/default/user/change_password
- http://.../[app]/default/user/bulk_register

Es posible definir las que deseamos no exponer:
```python
auth.settings.actions_disabled=['register', 'change_password', 'retrieve_password']
```

Para restringir el acceso a las acciones, basta con decorar su función:
```python
@auth.requires_login()
def saluda():
    return dict(message='Hola %(first_name)s' % auth.user)
```

auth.user es una copia del registro de db.auth_user, correspondiente al usuario identificado, si lo hay, o None si no lo hay.

auth.groups contiene un diccionario con cada id y role de cada grupo al que pertenece el usuario identificado.

### Otros métodos de login
Auth proporciona varios métodos de login y utilidades para crearlos. Cada uno de ellos se define en su correspondiente fichero del directorio "gluon/contrib/login_methods/". Lo mejor es echar un vistazo allí para conocer cada método.

Veremos algunos ejemplos, pero de antemano hay dos tipos de métodos: los que utilzan formularios Web2py y los que no.

#### Basic
Supongamos que tenemos un servicio de identificación en https://basic.example.com que acepta el método basic. Esto significa que el servidor acepta peticiones HTTP con la cabecera:
```
    GET /index.html HTTP/1.0
    Host: basic.example.com
    Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
```

Donde la última cadena es usuario:password en base64.

El servicio responderá 200 OK si todo va bien y 400, 401, 402, 403 o 404 de lo contrario.

Para utilizar este servicio:
```python
from gluon.contrib.login_methods.basic_auth import basic_auth
# añado un nuevo métod de autenticación a los que ya hubiera
auth.settings.login_methods.append(
    # en este caso un método basic
    basic_auth('https://basic.example.com'))
```

La lista de métodos a utilizar por defecto es:
```python
# el orden de la lista es importante
auth.settings.login_methods = [auth]
```

Si la identificación tiene éxito y auth.settings.login_methods[0]==auth:
- Si no existe el usuario se crea y se guardan su usuario/mail y contraseña
- Si existe el usuario, pero no coincide su contraseña, se elimina la vieja y se guarda la nueva

Es posible definir que las contraseñas no se guarden.

#### SMTP y Gmail
```python
from gluon.contrib.login_methods.email_auth import email_auth
auth.settings.login_methods.append(
    email_auth("smtp.gmail.com:587", "@gmail.com"))
```

#### PAM
```python
from gluon.contrib.login_methods.pam_auth import pam_auth
auth.settings.login_methods.append(pam_auth())
```

#### LDAP
```python
# MS Active Directory
from gluon.contrib.login_methods.ldap_auth import ldap_auth
auth.settings.login_methods.append(ldap_auth(mode='ad',
   server='my.domain.controller',
   base_dn='ou=Users,dc=domain,dc=com'))

# Lotus Notes y Domino:
auth.settings.login_methods.append(ldap_auth(mode='domino',
   server='my.domino.server'))

# OpenLDAP con uid
auth.settings.login_methods.append(ldap_auth(server='my.ldap.server',
   base_dn='ou=Users,dc=domain,dc=com'))

# OpenLDAP con CN
auth.settings.login_methods.append(ldap_auth(mode='cn',
   server='my.ldap.server', base_dn='ou=Users,dc=domain,dc=com'))
```

#### Google App Engine
```python
from gluon.contrib.login_methods.gae_google_login import GaeGoogleAccount
auth.settings.login_form = GaeGoogleAccount()
```

#### OpenID
```python
# OpenIDAuth exige la instalación del módulo python-openid
from gluon.contrib.login_methods.openid_auth import OpenIDAuth
auth.settings.login_form = OpenIDAuth(auth)

# este método de login define la siguiente tabla:
db.define_table('alt_logins',
    Field('username', length=512, default=''),
    Field('type', length =128, default='openid', readable=False),
    Field('user', self.table_user, readable=False))
```

#### OAuth2.0
- Lo primero es instalar Facebook Python SDK.
- Después, en un modelo:

``` python
# Define oauth application id and secret.
FB_CLIENT_ID = 'xxx'
FB_CLIENT_SECRET = 'yyyy'

# import required modules
try:
    import json
except ImportError:
    from gluon.contrib import simplejson as json
from facebook import GraphAPI, GraphAPIError
from gluon.contrib.login_methods.oauth20_account import OAuthAccount

# extend the OAUthAccount class
class FaceBookAccount(OAuthAccount):
    """OAuth impl for FaceBook"""
    AUTH_URL="https://graph.facebook.com/oauth/authorize"
    TOKEN_URL="https://graph.facebook.com/oauth/access_token"

    def __init__(self):
        OAuthAccount.__init__(self, None, FB_CLIENT_ID, FB_CLIENT_SECRET,
                              self.AUTH_URL, self.TOKEN_URL,
                              scope='email,user_about_me,user_activities, user_birthday, user_education_history, user_groups, user_hometown, user_interests, user_likes, user_location, user_relationships, user_relationship_details, user_religion_politics, user_subscriptions, user_work_history, user_photos, user_status, user_videos, publish_actions, friends_hometown, friends_location,friends_photos',
                              state="auth_provider=facebook",
                              display='popup')
        self.graph = None

    def get_user(self):
        '''Returns the user using the Graph API.
        '''
        if not self.accessToken():
            return None

        if not self.graph:
            self.graph = GraphAPI((self.accessToken()))

        user = None
        try:
            user = self.graph.get_object("me")
        except GraphAPIError, e:
            session.token = None
            self.graph = None

        if user:
            if not user.has_key('username'):
                username = user['id']
            else:
                username = user['username']
                
            if not user.has_key('email'):
                email = '%s.fakemail' %(user['id'])
            else:
                email = user['email']    

            return dict(first_name = user['first_name'],
                        last_name = user['last_name'],
                        username = username,
                        email = '%s' %(email) )

# use the above class to build a new login form
auth.settings.login_form=FaceBookAccount()
```

#### LinkedIn
```python
# LinkedInAccount requiere la instalación del módulo python-linkedin
from gluon.contrib.login_methods.linkedin_account import LinkedInAccount
auth.settings.login_form=LinkedInAccount(request,KEY,SECRET,RETURN_URL)
```

#### X509
```python
# requiere la instalación de M2Crypto http://chandlerproject.org/bin/view/Projects/MeTooCrypto
from gluon.contrib.login_methods.x509_auth import X509Account
auth.settings.actions_disabled=['register', 'change_password', 'request_reset_password']
auth.settings.login_form = X509Account()
```


## Autorización
Cuando un usuario se registra, se crea un grupo que lo contiene, user_(id), donde id es el del usuario. Esta creación por defecto se puede deshabilitar.
```python
auth.settings.create_user_groups = None
# por defecto es
auth.settings.create_user_groups="user_%(id)s"
```
En general:
- Los usuarios son miembros de grupos
- Cada grupo se identifica por un nombre/rol
- Los grupos tienen permisos
- Los usuarios tienen permisos porque pertenecen a los grupos que los tienen

Es posible forzar la pertenencia de los nuevos usuarios:
```python
auth.settings.everybody_group_id = 5
```

Se pueden crear grupos, membresías y dar permisos mediante la interfaz administrativa, appadmin, o por código:
```python
id_grupo = auth.add_group('rol', 'descripción')   # id_grupo es el id del nuevo grupo
auth.del_group(group_id)                          # borra el grupo
auth.del_group(auth.id_group('user_7'))           # borra el grupo con role=="user_7" (usuario 7)
auth.user_group(user_id)                          # devuelve el id del grupo del usuario
auth.add_membership(group_id, user_id)            # añade user_id al grupo group_id
auth.del_membership(group_id, user_id)            # borra la membresía
auth.has_membership(group_id, user_id, role)      # comprueba la membresía
auth.add_permission(group_id, 'name', 'object', record_id)  # añade permiso sobre el objeto
auth.del_permission(group_id, 'name', 'object', record_id)  # revoca el permiso
auth.has_permission('name', 'object', record_id, user_id)   # ¿tiene permiso?
```

### Decoradores
Lo habitual es utilizar decoradores para gestionar la autorización sobre las acciones.
```python
# dado un controlador con las siguientes acciones:

# esta acción no está decorada => no hay restricciones de acceso
def uno():
    return 'Acción pública'

@auth.requires_login()
def dos():
    return 'Requiere que el usuario inicie sesión'

@auth.requires_membership('admins')
def tres():
    return 'Eres un administrador'

@auth.requires_permission('read', secretos)
def cuatro():
    return 'Puedes leer la tabla secretos'

@auth.requires_permission('delete', 'any file')
def cinco():
    import os
    for file in os.listdir('./'):
        os.unlink(file)
    return 'Todo borrado'

@auth.requires_permission('add', 'number')
def suma(a, b):
    return a + b

# pública
def siete():
    return suma(3, 4)
```

### Combinando requisitos
Para los casos en los que es necesario combinar requisitos existe un decorador genérico que toma un único argumento, una condición:
```python
@auth.requires(auth.has_membership(group_id='admins') and request.now.weekday()==0)
def administrar():
    return 'Hola administrador, hoy es lunes'
```

### Control de acceso e identificación de tipo basic
A veces queremos exponer acciones para que sean llamadas por un agente distinto a un navegador, como un script, etc.
```python
auth.settings.allow_basic_login = True

@auth.requires_login()
def dame_la_hora():
    import time
    return time.ctime()
```

Ahora, desde una consola:
```cmd
wget --user=[username] --password=[password] --auth-no-challenge
    http://.../app/controlador/dame_la_hora
```

También se puede hacer:
```python
def dame_la_hora():
    import time
    auth.basic()
    if auth.user:
        return time.ctime()
    else:
        return 'No estás autorizado'
```

En ocasiones, es el único método de identificación para servicios. Por defecto está deshabilitado.

### Identificación manual
Si necesitas implementar tu propia lógica de identificación:
```python
user = auth.login_bare(username, password)
```
login_bare devuelve un usuario si existe y el password es correcto.

### [Auth Settings and messages](http://www.web2py.com/books/default/chapter/29/09/access-control#Auth-Settings-and-messages)


## Tarea fin de curso
Necesito un aplicación que gestione las TIC en mi Gerencia de Atención Primaria:

### Tablas
- centro
	- codigo_cias(string de 8, único y no vacío) 17050010, 17050110, 17050210, ...
	- codigo_gap(string de 2, único y no vacío) 00, 01, 02, ...
	- nombre(string de 18, no vacío)
	- direccion(string de 50, no vacía)
	- telefono_fijo(string de 12, no vacío)
	- telefono_urgencias(string de 12)
	- telefono_movil(string de 12)
	- notas(texto largo)
	
    Desde la vista de un centro podré acceder a sus consultorios, puestos y rangos de red
    

- consultorio
	- centro(referencia de centro)
	- codigo_cias(string de 8, único y no vacío) 17050020, 17050021, 17050022, ...
	- codigo_gap(string de 4, único y no vacío) 0020, 0021, 0022, ...
	- nombre(string de 30, no vacío)
	- direccion(string de 50, no vacía)
	- telefono_fijo(string de 12, no vacío)
	- notas(texto largo)
    
	Desde la vista de un consultorio podré acceder a su centro, puestos y rangos de red


- rango (rangos de red: 10.1.0.0/24)
	- nombre(string de 20, único y no vacío) 10.1.0.0/24
	- centro(referencia de centro)
	- consultorio(referencia de consultorio)
	- descripcion(string de 50) (impresoras, pcs, dhcp, etc)
	- inicio(string de 15 ipv4, no vacío) primera ip del rango
	- mascara(string de 15 ipv4, no vacío) máscara de red
	- fin(string de 15 ipv4, no vacío) última ip del rango
	- broadcast(string de 15 ipv4, no vacío)
	- notas(texto largo)
    
	Desde la vista de un rango podré acceder a su centro o consultorio, puestos y a sus ips libres


- ip
	- rango(referencia a rango)
	- nombre(string de 15 ipv4, único, no vacío) 10.1.0.1
	- libre (sí o no, por defecto todas las ips están libres)
    
	Desde la vista de una ip podré acceder a su centro, consultorio y rango


- puesto
	- centro(referencia a centro)
	- consultorio(referencia a consultorio)
	- ip(referencia a ip)
	- nombre(string de 20) urgencias 1, enfermería 1, pediatría, ...
	- telefono(string de 12)
	- profesional(string de 50)
	- notas(texto largo)
    
	Desde la vista de un puesto podré acceder a su centro o consultorio


Creación, consulta, edición y borrado de todas las tablas \
Todas las acciones serán estarán disponibles únicamente para los usuarios del servicio de informática \
Búsqueda de centros por codigo_cias, codigo_gap, nombre, teléfonos \
Búsqueda de consultorios por codigo_cias, codigo_gap, nombre, teléfonos \
Busqueda de rangos por nombre y descripción \
Búsqueda de ip \
Búsqueda de ips libres de un centro/consultorio \
Búsqueda de puestos por ip, nombre, teléfono, profesional \
Habrá algunas acciones disponibles via API-REST para su consumo público en formato JSON
  - Lista de centros: nombre, dirección y teléfonos
  - Lista de consultorios: nombre, dirección y teléfonos