repoze.who.plugins.browserid плагин repoze.who для аутентификации через проекта Mozilla, BrowserID:
& NBSP; HTTPS: //browserid.org/
Это в настоящее время поддерживает проверку BrowserID утверждений, разместив их в browserid.org Verifier услуг. Поскольку протокол становится более стабильной она будет расти возможность проверить утверждения на местном уровне.
Конфигурация плагина можно сделать из стандартного файла конфигурации repoze.who вот так:
[плагина: BrowserID]
Использование = repoze.who.plugins.browserid: make_plugin
зрители = www.mysite.com
rememberer_name = authtkt
[плагина: authtkt]
Использование = repoze.who.plugins.auth_tkt: make_plugin
Секрет = Мой Специальный Секрет
[] идентификаторы
плагины = authtkt BrowserID
[аутентификаторов]
плагины = authtkt BrowserID
[] претендентов
плагины = BrowserID
Обратите внимание, что мы в паре плагин BrowserID с стандартный плагин AuthTkt так, что он может вспомнить логин пользователя между запросами.
Настройка
Следующие параметры могут быть указаны в конфигурационном файле, чтобы настроить поведение плагина:
и NBSP; зрители:
& NBSP; Пространство список разделенных приемлемых хостов или шаблонов Глоб для утверждения аудитории BrowserID. Любое утверждение которого зрители не соответствует элемент в списке, будут отклонены.
& NBSP; Вы должны указать значение для этого параметра, так как это является неотъемлемой частью безопасности BrowserID. Смотрите раздел Notes безопасности для более подробной информации.
& NBSP; rememberer_name:
& NBSP; имя другого repoze.who плагин, который следует называть помнить / забывать аутентификации. Это, как правило, быть реализация подписанного-печенья, такие как встроенный в auth_tkt плагина. Если unspecificed или Нет, то аутентификация не будет помнить.
& NBSP; postback_url:
& NBSP; URL-адрес, к которому BrowserID полномочия должны быть направлены для проверки. Значение по умолчанию, мы надеемся, в противоречии бесплатно: /repoze.who.plugins.browserid.postback.
& NBSP; assertion_field:
& NBSP;
& NBSP; имя поля POST форма, в которой, чтобы найти утверждение BrowserID. Значение по умолчанию "утверждение".
& NBSP; came_from_field:
& NBSP; имя поля POST форму, в которой, чтобы найти страницу, ссылаясь, к которым пользователь будет перенаправлен после обработки логин. Значение по умолчанию "came_from".
& NBSP; csrf_field:
& NBSP; имя поля POST форма, в которой, чтобы найти маркер защиты от CSRF. Значение по умолчанию "csrf_token". Если установлено в пустую строку, то проверка CSRF отключена.
& NBSP; csrf_cookie_name:
& NBSP;
& NBSP; имя куки, в котором, чтобы установить и найти маркер защиты от CSRF. По умолчанию имя куки "browserid_csrf_token". Если установлено в пустую строку, то проверка CSRF отключена.
& NBSP; challenge_body:
& NBSP; Место, на котором, чтобы найти HTML для страницы входа в систему, либо в виде пунктирной ссылкой питона или файла. Содержать HTML может использовать синтаксис питона строка интерполяции включить подробную информацию о провокационной, например использовать% (csrf_token) S, чтобы включить маркер CSRF.
& NBSP; verifier_url:
& NBSP; URL-адрес проверяющего службы BrowserID, к которому все утверждения будут размещены для проверки. Значение по умолчанию является стандартным browserid.org проверяющий и должны быть пригодны для всех целей.
& NBSP; urlopen:
& NBSP; пунктирная имя питон вызываемый реализации же API как urllib.urlopen, который будет использоваться для доступа к службе BrowserID верификатор. Стоимость утилиты по умолчанию: secure_urlopen который делает строгое HTTPS сертификат проверки по умолчанию.
и NBSP; check_https:
& NBSP; Логическое значение, указывающее, следует ли отказаться от попыток входа в течение enencrypted соединений. Значение по умолчанию неверно.
& NBSP; check_referer:
& NBSP; Логическое значение, указывающее, следует ли отказаться от попыток входа, где заголовок реферер не соответствуют ожидаемой аудитории. По умолчанию для выполнения этой проверки только для безопасных соединений.
Безопасность Примечания
CSRF-защиты
Этот плагин пытается обеспечить некоторую базовую защиту против CSRF-Логин атак, как описано Барт и др. др. в "Надежные оборону для кросс-Site Request Подделка":
& NBSP; HTTP: //seclab.stanford.edu/websec/csrf/csrf.pdf
В терминологии выше статье, он сочетает в себе сессии независимый одноразовое с проверки строгий реферер для безопасных соединений. Вы можете настроить защиту, регулируя "csrf_cookie_name", "check_referer" и "check_https" настройки.
Аудитория Проверка
BrowserID использует понятие «аудитория» для защиты от украденных логинов. Аудитория привязывает утверждение BrowserID для определенного хоста, так что злоумышленник не сможет собрать утверждения на одном сайте, а затем использовать их, чтобы войти в другой.
Этот плагин выполняет строго аудиторию проверки по умолчанию. Вы должны предоставить список приемлемых аудитории строки при создании плагина, и они должны быть специфическими для вашего приложения. Например, если ваше приложение обслуживает запросы на трех разных хостов http://mysite.com, http://www.mysite.com и http://uploads.mysite.com, вы могли бы обеспечить:
[плагина: BrowserID]
Использование = repoze.who.plugins.browserid: make_plugin
зрители = mysite.com * .mysite.com
Если ваше приложение строгую проверку заголовка HTTP-хост, то вы можете поручить плагин, чтобы использовать заголовок хоста в качестве аудитории, оставив список пустым:
[плагина: BrowserID]
Использование = repoze.who.plugins.browserid: make_plugin
аудиторий =
Это не поведение по умолчанию, так как это может быть небезопасно в некоторых системах
Что нового В этом выпуске:.
- Исправлена Javascript, чтобы использовать navigator.id.get () вместо устаревшей navigator.id.getVerifiedEmail.
Что нового в версии 0.4.0:.
- Миграция из PyVEP в PyBrowserID
Что нового в версии 0.3.0:
- Обновление для API совместимости с PyVEP & GT = 0,3. 0.
Что нового в версии 0.2.1:
- Обновление для API совместимости с PyVEP & GT = 0,2. 0.
Что нового в версии 0.2.0:
- Рефакторинг проверочный код в Standand изолированной библиотеке имени & Quot;. & Quot PyVEP ;, который в настоящее время является зависимость
Требования
- Python
Комментарии не найдены