Rework authentication system
authorJo-Philipp Wich <jow@openwrt.org>
Tue, 7 Aug 2012 19:11:56 +0000 (19:11 +0000)
committerJo-Philipp Wich <jow@openwrt.org>
Tue, 7 Aug 2012 19:11:56 +0000 (19:11 +0000)
commita58370ab74aebca6871b1524a655f7bb5086e0a6
tree76e2c3218bb97ffef8e5b0f3e4eba760fb0468bd
parent69aa218335330e1e8c623fdc2e5e336b2b78056f
Rework authentication system

The validity of authentication tokens was determined by the
mtime of respective authentication tokens on filesystem
stored in $sessionpath.
Talking about hardware without RTC or without a prior
connection to a time server, date/time usually around 1970 -
so is the mtime of the authentication token file in
$sessionpath.

When now configuring an internet connection via LuCI, the
system might fetch the current date/time (e.g. via ntp)
which invalidates the token, returns "403 Forbidden" and
kicks the user out of the interface.

This patch changes the authentication system to use time values
based on the uptime of the machine - rather than values based upon
gettimeofday() and {a|m}time values - and save them inside the token.
That way can always determine the difference between login
(last interaction respectively) and the current time, in-
dependant of the system clock jumping backwards/forwards.

Warning: This patch removes the clean() function and respective calls.
This means, invalid tokens will NOT be determined and removed from
filesystem automatically anymore.
Before, every HTTP-call caused a scan for invalid tokens,
which is quite expensive. Instead consider using a cron job
deleting all stalled files periodically.

Contributed by T-Labs, Deutsche Telekom Innovation Laboratories

Signed-off-by: Mirko Vogt <mirko@openwrt.org>
libs/web/luasrc/sauth.lua
modules/rpc/luasrc/controller/rpc.lua