我正在开发一个项目,我必须满足一些法规要求,要求至less有三分之五的授权用户开始使用预先分配的密码来处理非常敏感的信息的后端Web服务。
现在,原型已经被批准并正在运行使用Python的wsgiref.simple_server() ,我已经编程手动提示input密码。 现在原型已经被批准,我必须将Web应用程序迁移到生产环境中,我需要在Apache和mod_wsgi之后运行它。
我有两个问题:
现在,我使用一个很小的Python包装程序,以编程方式允许远程input密码。 在开始之前,如何让Apache提示我input密码? 这是否必须在由mod_wsgi执行的app.wsgi脚本中? 从Apache守护进程开始,这样做是如何工作的,因此没有stdin!
我将不得不担心某种types的代码重新加载? 在杀死并重新启动另一个工作进程之前,Apache可能有最大数量的请求,但是,这是否也需要密码提示?
任何帮助在这里将不胜感激。
通过modwsgi作为访问提供者的HTTP /摘要authentication应该适合您的情况。 这个在modwsgi网站有大量的文档。
与预期和标准input相比,使用HTTPauthentication是一种更普遍接受的authentication方式。
至于代码重装,只要不设置最大请求值,就不用担心重启。 使用HTTP身份validation,重新启动实际上不应该有任何问题。
用户将能够通过触摸.wsgi文件重新加载wsgi进程(因此更新apache服务的代码)。 (即touch /path/to/file.wsgi)
你可以通过使用linux权限和sudo来保护它的那部分,要求他们input他们自己的系统密码。