ٞi0dZddlZddlZddlZddlZddlZddlmZmZm Z ddl m Z m Z ddl m Z ddlmZej eZGddZGd d ZGd d ZGd dZdefdZy)zV Security Module Authentication, authorization, rate limiting, and input sanitization N)OptionalDictTuple)datetime timedelta) defaultdictwrapsc8eZdZdZdefdZdefdZdedefdZy) TokenManageru%Gestionnaire de tokens API sécurisé script_dircx||_tjj|d|_d|_d|_y)Nz .api_token)r ospathjoin token_file_token _token_hash)selfr s //home/ubuntu/crypto_trading_bot/api/security.py__init__zTokenManager.__init__s.$'',,z<@%) *.returnc|jr |jStjjd}|sgtjj |j r> t|j d5}|jj}ddd|stjd} t|j d5}|j|dddtj dk7r tj"|j dtj%d |dd d ||_t'j(|j+j-|_|S#1swYxYw#t$r#}tjd|Yd}~ d}~wwxYw#1swYxYw#t$r"}tjd |Yd}~d}~wwxYw) u%Récupérer ou générer le token APIDASHBOARD_API_TOKENrNzErreur lecture token: wntuNouveau token généré: ...zErreur sauvegarde token: )rrenvirongetrexistsropenreadstrip Exceptionloggererrorsecrets token_urlsafewritenamechmodwarninghashlibsha256encode hexdigestr)rtokenfes r get_tokenzTokenManager.get_tokens} ;;;;  458 ;$//3/-1FFHNN,E- ))"-E >$//3/#1GGEN#77d?HHT__e4!:5!9+SIJ ">>%,,.9CCE +-- ; 5aS9:: ;##  > 8<== >sa$F:E7F9F>F2!AF>7F<F F/ F**F/2F;7F>> G)G$$G)provided_tokencN|j}tj||S)u0Vérifier un token avec protection timing attack)r9r,compare_digest)rr:expecteds r verify_tokenzTokenManager.verify_token>s!>>#%%nh??rN) __name__ __module__ __qualname____doc__strrr9boolr>rrr r s4//3/ 3 D@3@4@rr cNeZdZdZd dedefdZdedeee effdZ defdZ y ) RateLimiteru Rate limiter simple basé sur IP max_requestswindow_secondsc\||_t||_tt|_y)N)seconds)rHrwindowrlistrequests)rrHrIs rrzRateLimiter.__init__Gs"(7 )4T): r client_iprctj}||jz }|j|Dcgc] }||kDr| c}|j|<t |j||j k\rOt |j|}t||jz|z j}dtd|fS|j|j|ycc}w)uj Vérifier si une requête est autorisée Returns: (allowed, retry_after_seconds) FTN) rnowrLrNlenrHminint total_secondsmaxappend)rrOrScutoffreq_timeoldest retry_afters r is_allowedzRateLimiter.is_allowedLs llnt{{"%)]]9%=$ !&  $  i t}}Y' (D,=,= =y12Fv 3c9HHJKK#a-- - i '',$ sC&c<||jvr|j|=yy)u&Réinitialiser le compteur pour une IPN)rN)rrOs rresetzRateLimiter.resetds  % i( &rN)d<) r?r@rArBrVrrCrrDrr^r`rErrrGrGDsE*;S;; CE$ 2E,F0)s)rrGc^eZdZdZededefdZededefdZededefdZ y ) SecurityValidatoru(Validateur de sécurité pour les inputsfilenamercZ|sygd}|D]}||vsyddl}|jd|syy)u'Vérifier qu'un nom de fichier est sûrF)z../\  rNz^[a-zA-Z0-9_\-\.]+$T)rematch)re dangerouscharrls ris_safe_filenamez"SecurityValidator.is_safe_filenamemsE8  Dx  xx.9rsymbolcb|rt|dkDryddl}t|jd|S)u)Vérifier qu'un symbole crypto est valideFrNz^[A-Z0-9]+USDT$)rTrlrDrm)rqrls ris_safe_symbolz SecurityValidator.is_safe_symbols/Vr)BHH/899rmessagec|sy|jddjddjdd}t|dkDr|ddd z}|S) u1Nettoyer un message de log pour éviter injectionrj rk iNir")replacerT)ru sanitizeds rsanitize_log_messagez&SecurityValidator.sanitize_log_messages[OOD#.66tSAII$PST  y>C !$3%/IrN) r?r@rArB staticmethodrCrDrprtr|rErrrdrdjsi234$:s:t:: c c  rrdc eZdZdZhdZdedefdZdededefd Z d Z dd ed e ede fdZ dede fdZddedede dee e effdZdedee e ee effdZy )AuthMiddlewareuAMiddleware d'authentification — HTTP Basic Auth (user/password)> /api/health /favicon.ico /mobile.html/manifest.json/api/crypto-news/api/mobile-summary/manifest-mobile.json/crypto_trading_ia_icon.png/crypto_trading_ia_logo.png token_manager rate_limiterc||_||_d|_tjj |j d|_|jy)Nz.dashboard_auth) rr _credentialsrrrr _cred_file_load_or_create_credentials)rrrs rrzAuthMiddleware.__init__sC*(7;'',,}'?'?ARS ((*rpasswordsaltrcntj|d|jjS)z%Hash le mot de passe avec sel SHA-256:)r2r3r4r5)rrrs r_hash_passwordzAuthMiddleware._hash_passwords.~~az299;<FFHHrcptjjd}tjjd}|r8|r6d}||j|||f|_t j d|dytjj|jr t|jd5}|jjjd}dddtd k(r*|\}}}|||f|_t j d |dy d }t#j$d } t#j&d}|j| |}|||f|_ t|jd5}|j)|d|d|dddtj*dk7r tj,|jdt j/dt j/dt j/d|t j/d| t j/d|jt j/dt j/dt1dt1dt1d|t1d| t1dy#1swYxYw#t$r#}t j!d |Yd}~d}~wwxYw#1swY]xYw#t$r#}t j!d|Yd}~Td}~wwxYw)u/Charge ou génère le couple login/mot de passeDASHBOARD_USERDASHBOARD_PASSWORDenvu>🔐 Auth: credentials depuis variables d'environnement (user=)Nrru&🔐 Auth: credentials chargés (user=zErreur lecture credentials: admin r!rrr zErreur sauvegarde credentials: z<============================================================u.🔐 NOUVEAUX CREDENTIALS DASHBOARD GÉNÉRÉSz Utilisateur : z Mot de passe: z Fichier : u, Conservez ces informations en lieu sûr !z= ============================================================u2🔐 CREDENTIALS DASHBOARD (première utilisation)z============================================================= )rr#r$rrr*inforr%rr&r'r(splitrTr)r+r,r- token_hexr.r/r0r1print) renv_userenv_passrr7partsusername password_hashr8rs rrz*AuthMiddleware._load_or_create_credentialss::>>"23::>>"67 D!)4+>+>x+NPT UD  KKXYaXbbcd e  77>>$// * A$//3/81FFHNN,2237E8u:?491HdM)1=$(GD%KK"H RS TU #((,  #++Hd; %}d; @doos+ >q8*AdV1]O<= >ww$%0 x GH*8*56*8*56*4??*;<=EFx  o BC !(,- !(,- oI88 A ;A3?@@ A > > @ LL:1#> ? ? @s`#K 9.K'?K 1L K<!;L K K K9K44K9<LL L5L00L5N new_password new_usernamec$ |xs|jr|jdnd}tjd}|j||}|||f|_t |j d5}|j |d|d|dddtjdk7r tj|j dtjd |y #1swYUxYw#t$r"}tjd |Yd}~y d}~wwxYw) z5Changer le mot de passe (et optionnellement le login)rrr!rrNrr u-🔐 Mot de passe changé pour l'utilisateur Tz Erreur changement mot de passe: F)rr,rrr&rr.rr/r0r*rr)r+)rrrrrrr7r8s rchange_passwordzAuthMiddleware.change_passwords #_@Q@Q(9(9!(q8*AdV1]O<= >ww$%0 KKGzR S  > >   LL;A3? @ s1A(C$*CAC$C!C$$ D-D  D auth_headerc|jdsy tj|ddjd}d|vry|j dd\}}|j sy|j \}}}tj||}|j||} tj| |} |xr| S#t $rYywxYw)u;Vérifie un header Authorization: Basic Basic FNzutf-8rrQ) startswithbase64 b64decodedecoderr)rr,r<r) rrdecoded provided_user provided_passrrruser_ok pass_hashpass_oks rverify_basic_authz AuthMiddleware.verify_basic_auths%%h/ &&{127>>wGG'!+2==a+@ (M=  (,(9(9%-((A'' t< ((MB"7"  s+B6B66 CCheadersrO allow_localcD|r|dvry|jdd}|jdr+|j|rytj d|y|jdr:|d d }|j j |rytj d |y y )ul Vérifier l'authentification HTTP Basic Auth. Returns: (authorized, error_message) )z 127.0.0.1z::1 localhostrR Authorizationrwru#Échec authentication Basic depuis )FzIdentifiants incorrectszBearer NzToken Bearer invalide depuis )FzToken invalide)FzAuthentification requise)r$rrr*r1rr>)rrrOrrr6s r check_authzAuthMiddleware.check_auths 9(IIkk/26   ! !( +%%k2! NN@ L M3  ! !) ,OE!!..u5! NN:9+F G*0rcV|jj|\}}|s dd|d|fSy)u` Vérifier le rate limit Returns: (allowed, error_message, retry_after) Fz!Rate limit exceeded. Retry after s)TNN)rr^)rrOallowedr]s rcheck_rate_limitzAuthMiddleware.check_rate_limit*s< $00;;IF=k]!LkY Yr)N)T)r?r@rArB PUBLIC_PATHSr rGrrCrrrrDrrdictrrrVrrErrrrsK PL+l+++IsI#I#I2hCx}X\"#S#T#01$131T1UZ[_aijman[nUo18  #  %hsmXVY]8Z2[  rrrc d}|S)u*Décorateur pour exiger l'authentificationc.tfd}|S)Nc|jd}|js|jddidy|g|i|S)Nrr+ Unauthorizedi)client_addressrsend_json_response)rargskwargsrOhandler_methods rwrapperz0require_auth..decorator..wrapper:sL++A.I??$''.(A3G!$888 8rr )rrs` r decoratorzrequire_auth..decorator9s! ~  9  9rrE)rrs r require_authr7s  r)rBrrr2r,loggingtypingrrrrr collectionsr functoolsr getLoggerr?r*r rGrdrrrErrrsx  (((#   8 $.@.@b#)#)L,,^[ [ | r