repoze.who.plugins.browserid là một plugin repoze.who để xác thực thông qua dự án BrowserID của Mozilla:
& Nbsp; https: //browserid.org/
Nó hiện đang hỗ trợ xác minh của BrowserID khẳng định bằng cách gửi chúng vào các dịch vụ browserid.org xác minh. Là giao thức trở nên ổn định hơn, nó sẽ phát triển khả năng để xác minh khẳng định tại địa phương.
Cấu hình của các plugin có thể được thực hiện từ các tập tin cấu hình repoze.who tiêu chuẩn như vậy:
[Plugin: browserid]
sử dụng = repoze.who.plugins.browserid: make_plugin
khán giả = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
sử dụng = repoze.who.plugins.auth_tkt: make_plugin
bí mật = My Secret đặc biệt
[Nhận dạng]
plugins = authtkt browserid
[Authenticators]
plugins = authtkt browserid
[Thách đấu]
plugins = browserid
Lưu ý rằng chúng tôi đã kết hợp các plugin BrowserID với các plugin chuẩn AuthTkt để nó có thể nhớ tên đăng nhập của người dùng trên các yêu cầu.
Tùy
Các thiết lập sau đây có thể được quy định trong các tập tin cấu hình để tùy chỉnh các hành vi của các plugin:
& Nbsp; khán giả:
& Nbsp; Một danh sách không gian tách biệt của tên máy có thể chấp nhận hoặc các mẫu glob cho khán giả khẳng định BrowserID. Bất kỳ sự khẳng định có khán giả là không phù hợp với một mục trong danh sách sẽ bị từ chối.
& Nbsp; Bạn phải chỉ định một giá trị cho thiết lập này, vì nó là không thể thiếu đối với an ninh của BrowserID. Xem phần Security Ghi chú dưới đây để biết thêm chi tiết.
& Nbsp; rememberer_name:
& Nbsp; Tên của một plugin repoze.who mà nên được gọi là để nhớ / quên xác thực. Điều này thường sẽ thực hiện được một ký-cookie như được xây dựng trong plugin auth_tkt. Nếu unspecificed hoặc None sau đó xác thực sẽ không được nhớ.
& Nbsp; postback_url:
& Nbsp; Các URL mà BrowserID thông tin phải được gửi để xác nhận. Giá trị mặc định là hy vọng mâu thuẫn miễn phí: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Tên của trường mẫu POST trong đó để tìm sự khẳng định BrowserID. Giá trị mặc định là "khẳng định".
& Nbsp; came_from_field:
& Nbsp; Tên của trường mẫu POST trong đó để tìm các trang giới thiệu, mà người dùng sẽ được chuyển hướng sau khi xử lý đăng nhập của họ. Giá trị mặc định là "came_from".
& Nbsp; csrf_field:
& Nbsp; Tên của trường mẫu POST trong đó để tìm sự bảo vệ CSRF token. Giá trị mặc định là "csrf_token". Nếu thiết lập các chuỗi rỗng sau đó kiểm tra CSRF bị vô hiệu hóa.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Tên của cookie trong đó để thiết lập và tìm thấy những dấu hiệu bảo vệ CSRF. Các cookie tên mặc định là "browserid_csrf_token". Nếu thiết lập các chuỗi rỗng sau đó kiểm tra CSRF bị vô hiệu hóa.
& Nbsp; challenge_body:
& Nbsp; Các vị trí mà tại đó để tìm ra HTML cho trang đăng nhập, hoặc như là một tài liệu tham khảo python chấm hoặc một tên tập tin. Các chứa HTML có thể sử dụng cú pháp python chuỗi suy bao gồm chi tiết về những thách thức, ví dụ: sử dụng% (csrf_token) s để bao gồm các thẻ CSRF.
& Nbsp; verifier_url:
& Nbsp; Các URL của dịch vụ xác minh BrowserID, mà tất cả các xác nhận sẽ được gửi để kiểm tra. Giá trị mặc định là người xác minh browserid.org tiêu chuẩn và phải thích hợp cho tất cả các mục đích.
& Nbsp; urlopen:
& Nbsp; Tên python chấm của một thể gọi thực hiện các API tương tự như urllib.urlopen, mà sẽ được sử dụng để truy cập các dịch vụ BrowserID xác minh. Utils giá trị mặc định: secure_urlopen mà không kiểm tra theo mặc định chứng nhận HTTPS nghiêm ngặt.
& Nbsp; check_https:
& Nbsp; Boolean chỉ có bác bỏ nỗ lực đăng nhập trên các kết nối enencrypted. Giá trị mặc định là False.
& Nbsp; check_referer:
& Nbsp; Boolean chỉ có bác bỏ nỗ lực đăng nhập của nơi tiêu đề referer không phù hợp với khán giả mong đợi. Mặc định là để thực hiện kiểm tra này chỉ cho kết nối an toàn.
Security Ghi chú
Bảo vệ CSRF
Plugin này sẽ cố gắng cung cấp một số bảo vệ cơ bản chống lại sự xâm nhập truy-CSRF như mô tả của Barth et. al. trong "phòng thủ mạnh mẽ cho Foot":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Trong thuật ngữ của giấy ở trên, nó kết hợp một nonce phiên độc lập với referer nghiêm ngặt kiểm tra các kết nối an toàn. Bạn có thể tinh chỉnh các bảo vệ bằng cách điều chỉnh "csrf_cookie_name", "check_referer" và "check_https" cài đặt.
Khán giả Kiểm tra
BrowserID sử dụng các khái niệm về một "khán giả" để bảo vệ chống lại các thông tin đăng nhập bị đánh cắp. Các khán giả quan hệ một sự khẳng định BrowserID đến một máy chủ cụ thể, do đó, một kẻ tấn công không thể thu thập những khẳng định trên một trang web và sau đó sử dụng chúng để đăng nhập vào nhau.
Plugin này thực hiện kiểm tra theo mặc định khán giả nghiêm ngặt. Bạn phải cung cấp một danh sách các chuỗi khán giả chấp nhận được khi tạo các plugin, và họ nên được cụ thể cho ứng dụng của bạn. Ví dụ, nếu ứng dụng của bạn phục vụ các yêu cầu trên ba hostname khác nhau http://mysite.com, http://www.mysite.com và http://uploads.mysite.com, bạn có thể cung cấp:
[Plugin: browserid]
sử dụng = repoze.who.plugins.browserid: make_plugin
khán giả = mysite.com * .mysite.com
Nếu ứng dụng của bạn không kiểm tra nghiêm ngặt của tiêu đề HTTP Host, sau đó bạn có thể hướng dẫn các plugin để sử dụng các tiêu đề Host làm khán giả bằng cách bỏ trống danh sách:
[Plugin: browserid]
sử dụng = repoze.who.plugins.browserid: make_plugin
khán giả =
Đây không phải là hành vi mặc định vì nó có thể không an toàn trên một số hệ thống
là gì mới trong phiên bản này:.
- Fix javascript để sử dụng navigator.id.get () thay vì các navigator.id.getVerifiedEmail phản đối.
là gì mới trong phiên bản 0.4.0:.
- Migrate từ PyVEP để PyBrowserID
là gì mới trong phiên bản 0.3.0:
- Update cho API tương thích với PyVEP & gt; = 0,3. 0.
là gì mới trong phiên bản 0.2.1:
- Update cho API tương thích với PyVEP & gt; = 0,2. 0.
là gì mới trong phiên bản 0.2.0:
- Mã xác minh Refactor vào một thư viện standand lập tên & quot;. & quot ;, PyVEP mà bây giờ là một phụ thuộc
Yêu cầu :
- Python
Bình luận không