repoze.who.plugins.browserid on repoze.who plugin todennus tapahtuu Mozillan BrowserID projekti:
& Nbsp; https: //browserid.org/
Se tukee tällä hetkellä tarkastamisen BrowserID väitteiden julkaisemalla ne browserid.org todentajan palvelut. Koska pöytäkirja tulee vakaampi se kasvaa kyky tarkistaa väitteitä paikallisesti.
Konfigurointi plugin voidaan tehdä standardin repoze.who config tiedosto kuten niin:
[Plugin: browserid]
käyttö = repoze.who.plugins.browserid: make_plugin
yleisöt = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
käyttö = repoze.who.plugins.auth_tkt: make_plugin
salainen = My Special Secret
[Tunnisteet]
plugins = authtkt browserid
[Autentikaattoreissa]
plugins = authtkt browserid
[Haastajat]
plugins = browserid
Huomaa, että olemme pariksi BrowserID plugin standardin AuthTkt plugin, jotta se voi muistaa käyttäjän kirjautuminen eri pyyntöjä.
Räätälöinti
Seuraavat asetukset voidaan määrittää asetustiedostoon muokata käyttäytymistä plugin:
& Nbsp; yleisöt:
& Nbsp; tilaa eroteltu lista hyväksyttävää isäntänimiä tai loraus kaavoja BrowserID väitettä yleisö. Mikä tahansa väite, jonka yleisö ei vastaa kohde luettelosta hylätään.
& Nbsp; on määritettävä arvo tätä asetusta, koska se on olennainen turvallisuuden BrowserID. Katso Turvallisuus Huomautuksia osiosta lisätietoja.
& Nbsp; rememberer_name:
& Nbsp; nimi toisen repoze.who plugin, joka pitäisi kutsua muistaa / unohtaa todennus. Tämä olisi tyypillisesti allekirjoitettu-evästeen täytäntöönpanoa kuten sisäänrakennettu auth_tkt plugin. Jos unspecificed tai Ei niin todentaminen ei muistaa.
& Nbsp; postback_url:
& Nbsp; URL johon BrowserID valtakirjat tulee lähettää vahvistettavaksi. Oletusarvo on toivottavasti ristiriidassa ilmaiseksi: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; nimi POST lomakekenttään joka löytää BrowserID väitteen. Oletusarvo on "väite".
& Nbsp; came_from_field:
& Nbsp; nimi POST lomakekenttään joka löytää viittaavat sivulle, johon käyttäjä ohjataan käsiteltyään niiden kirjautuminen. Oletusarvo on "came_from".
& Nbsp; csrf_field:
& Nbsp; nimi POST lomakekenttään joka löytää CSRF suojaa token. Oletusarvo on "csrf_token". Jos asetus on tyhjä merkkijono sitten CSRF tarkkailun ole käytössä.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; nimi evästeen, johon asettaa ja löytää CSRF suojaa token. Oletuksena evästeen nimi on "browserid_csrf_token". Jos asetus on tyhjä merkkijono sitten CSRF tarkkailun ole käytössä.
& Nbsp; challenge_body:
& Nbsp; Paikka, jossa löytää HTML kirjautumissivulla, joko pilkullinen python viittaus tai tiedostonimi. Sisälsivät HTML voi käyttää Python merkkijono interpolointi syntaksin mainittava tiedot haaste, esimerkiksi käyttää% (csrf_token) s sisällyttää CSRF token.
& Nbsp; verifier_url:
& Nbsp; URL BrowserID todentajan palvelu, johon kaikki väitteet postitetaan tarkistamiseen. Oletusarvo on tavallinen browserid.org todentajan pitäisi olla sopiva kaikkiin tarkoituksiin.
& Nbsp; urlopen:
& Nbsp; pilkullinen python nimi vaadittaessa maksettavaa toteuttamisessa samat API kuin urllib.urlopen, jota käytetään pääsy BrowserID todentajan palvelua. Oletusarvo utils: secure_urlopen joka tekee tiukkaa HTTPS todistus tarkkailun oletuksena.
& Nbsp; check_https:
& Nbsp; Boolen osoittaa, onko hylätä kirjautumisyrityksiä yli enencrypted yhteyksiä. Oletusarvo on False.
& Nbsp; check_referer:
& Nbsp; Boolen osoittaa, onko hylätä kirjautumisyrityksiä jossa referer otsikko ei vastaa odotettua yleisö. Oletuksena on suorittaa tämä tarkastus luotettavat yhteydet vain.
Suojaus Notes
CSRF Protection
Tämä plugin yrittää tarjota joitakin perusasioita suojaa kirjautuminen-CSRF hyökkäyksiä kuvanneet Barth et. ai. in "vahvan puolustuksen Cross-Site Request väärennys":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Terminologiassa edellä paperia, se yhdistää istunto riippumaton seksuaalirikollinen tiukat referer tarkistamalla suojattuja yhteyksiä. Voit nipistää suojaa säätämällä "csrf_cookie_name", "check_referer" ja "check_https" asetukset.
Yleisö tarkistaminen
BrowserID käyttää käsitettä "yleisö" suojaamaan varastettu kirjautumisia. Yleisö sitoo BrowserID väite tiettyyn isäntä, niin että hyökkääjä voi kerätä väitteitä kuvapankissa ja sitten käyttää niitä kirjautua toiselle.
Tämä plugin tekee tiukkaa yleisön tarkkailun oletuksena. Sinun on annettava luettelo hyväksyttävää yleisöä merkkijono luodessaan plugin, ja niiden pitäisi olla erityinen hakemukseen. Esimerkiksi jos hakemus palvelee pyyntöjä kolmella eri isäntänimiä http://mysite.com, http://www.mysite.com ja http://uploads.mysite.com, saatat antaa:
[Plugin: browserid]
käyttö = repoze.who.plugins.browserid: make_plugin
yleisöt = mysite.com * .mysite.com
Jos sovellus ei tiukan tarkkailun HTTP isäntäotsikkoa, niin voit ohjata plugin käyttää isäntäotsikkoa kuin yleisö jättämällä listan tyhjäksi:
[Plugin: browserid]
käyttö = repoze.who.plugins.browserid: make_plugin
yleisöt =
Tämä ei ole oletuksena käyttäytymistä, koska se voi olla epävarma joissakin järjestelmissä.
Mitä uutta strong> tässä julkaisussa:
- Fix javascript käyttää navigator.id.get () sijasta hylätty navigator.id.getVerifiedEmail.
Mitä uutta strong> versiossa 0.4.0:
- siirtyvät PyVEP kohteeseen PyBrowserID.
Mitä uutta strong> versiossa 0.3.0:
- Päivitä API yhdenmukaisuus PyVEP & gt; = 0,3. 0.
Mitä uutta strong> versiossa 0.2.1:
- Päivitä API yhdenmukaisuus PyVEP & gt; = 0,2. 0.
Mitä uutta strong> versiossa 0.2.0:
- Refactor todentaminen koodi standand-alone kirjasto nimeltään & quot; PyVEP & quot ;, joka on nyt riippuvuus.
Vaatimukset :
- Python
Kommentteja ei löytynyt