repoze.who.plugins.browserid er en repoze.who plugin til godkendelse via Mozillas BrowserID projekt:
& Nbsp; https: //browserid.org/
Det understøtter i øjeblikket kontrol af BrowserID påstande ved at sende dem til browserid.org verifikatorkonti tjenester. Som protokollen bliver mere stabilt det vil vokse evnen til at kontrollere påstande lokalt.
Konfiguration af plugin kan gøres fra den standard repoze.who konfigurationsfil som så:
[Plugin: browserid]
brug = repoze.who.plugins.browserid: make_plugin
målgrupper = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
brug = repoze.who.plugins.auth_tkt: make_plugin
hemmelighed = min særlige Secret
[identifikatorer]
plugins = authtkt browserid
[autentifikatorer]
plugins = authtkt browserid
[udfordrere]
plugins = browserid
Bemærk, at vi har parret BrowserID plugin med standard AuthTkt plugin, så den kan huske brugerens login tværs anmodninger.
Tilpasning
Følgende indstillinger kan angives i konfigurationsfilen for at tilpasse adfærd plugin:
& nbsp; målgrupper:
& Nbsp; En rum-adskilt liste over acceptable værtsnavne eller glob mønstre for den BrowserID påstand publikum. Enhver påstand, hvis publikum matcher ikke et emne på listen, vil blive afvist.
& Nbsp; Du skal angive en værdi for denne indstilling, da det er en integreret del af sikkerheden i BrowserID. Se afsnittet nedenfor Sikkerhed Notes for flere detaljer.
& Nbsp; rememberer_name:
& Nbsp; navnet på en anden repoze.who plugin der skal kaldes til at huske / glemme godkendelse. Det vil typisk være en underskrevet-cookie implementering som den indbyggede auth_tkt plugin. Hvis unspecificed eller Ingen så godkendelse vil ikke blive husket.
& Nbsp; postback_url:
& Nbsp; Den URL, som BrowserID legitimationsoplysninger skal sendes til validering. Standardværdien er forhåbentlig konfliktfri: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Navnet på POST formularfeltet til at finde den BrowserID påstand. Standardværdien er "påstand".
& Nbsp; came_from_field:
& Nbsp; Navnet på POST formularfeltet til at finde den henvisende side, som brugeren vil blive omdirigeret efter forarbejdning deres login. Standardværdien er "came_from".
& Nbsp; csrf_field:
& Nbsp; Navnet på POST formularfeltet til at finde den CSRF beskyttelse token. Standardværdien er "csrf_token". Hvis sat til den tomme streng så CSRF kontrol er deaktiveret.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Navnet på den cookie til at indstille og finde CSRF beskyttelse token. Standard cookie er "browserid_csrf_token". Hvis sat til den tomme streng så CSRF kontrol er deaktiveret.
& Nbsp; challenge_body:
& Nbsp; Det sted, hvor at finde HTML til login-siden, enten som en punkteret python reference eller et filnavn. Den indesluttede HTML kan bruge python string interpolation syntaks at indeholde oplysninger om den udfordring, f.eks bruge% (csrf_token) r at omfatte CSRF token.
& Nbsp; verifier_url:
& Nbsp; webadressen på den BrowserID verifikator service, som alle påstande vil blive offentliggjort til kontrol. Standardværdien er standard browserid.org verifikator og bør være egnet til alle formål.
& Nbsp; urlopen:
& Nbsp; Den stiplede python navnet på en konverterbar gennemføre samme API som urllib.urlopen, som vil blive brugt til at få adgang til BrowserID verifikator service. Standardværdien utils: secure_urlopen der gør streng HTTPS certifikat kontrol som standard.
& nbsp; check_https:
& Nbsp; Boolsk angiver, om at afvise login-forsøg i løbet enencrypted forbindelser. Standardværdien er False.
& Nbsp; check_referer:
& Nbsp; Boolsk angiver, om at afvise login-forsøg, hvor referer header ikke svarer til den forventede publikum. Standarden er at udføre denne kontrol kun sikre forbindelser.
Sikkerhed Notes
CSRF Protection
Dette plugin forsøger at give nogle grundlæggende beskyttelse mod login-CSRF angreb som beskrevet af Barth et. al. i "et solidt forsvar for Cross-Site Request forfalskning":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
I terminologien i ovenstående papir, det kombinerer en session-uafhængig nNår med strenge referer kontrol for sikre forbindelser. Du kan justere den beskyttelse, ved at justere "csrf_cookie_name", "check_referer" og "check_https" indstillinger.
Audience Kontrol
BrowserID bruger begrebet en "publikum" for at beskytte mod stjålne logins. Publikum binder en BrowserID påstand til en bestemt vært, så en hacker ikke kan samle påstande på et websted og derefter bruge dem til at logge på en anden.
Dette plugin udfører streng publikum kontrol som standard. Du skal angive en liste over acceptable publikum snor, når du opretter plugin, og de bør være specifikke for din ansøgning. For eksempel, hvis din ansøgning tjener anmodninger på tre forskellige værtsnavne http://mysite.com, http://www.mysite.com og http://uploads.mysite.com, kan du give:
[Plugin: browserid]
brug = repoze.who.plugins.browserid: make_plugin
publikum = mysite.com * .mysite.com
Hvis din ansøgning ikke streng kontrol af HTTP Host header, så kan du instruere plugin for at bruge Host header som publikum ved at lade listen tom:
[Plugin: browserid]
brug = repoze.who.plugins.browserid: make_plugin
målgrupper =
Dette er ikke den standard opførsel, da det kan være usikker på nogle systemer
Hvad er nyt i denne udgivelse:.
- Fix JavaScript for at bruge navigator.id.get () i stedet for den forældede navigator.id.getVerifiedEmail.
Hvad er nyt i version 0.4.0:.
- migrere fra PyVEP til PyBrowserID
Hvad er nyt i version 0.3.0:
- Opdatering til API kompatibilitet med PyVEP & gt; = 0,3. 0.
Hvad er nyt i version 0.2.1:
- Opdatering til API kompatibilitet med PyVEP & gt; = 0,2. 0.
Hvad er nyt i version 0.2.0:
- Refactor bekræftelseskode i en standand-alone bibliotek ved navn & quot;. PyVEP & quot ;, som nu er en afhængighed
Krav :
- Python
Kommentarer ikke fundet