repoze.who.plugins.browserid є плагін repoze.who для аутентифікації через проект Mozilla, BrowserID:
І NBSP; HTTPS: //browserid.org/
Це в даний час підтримує перевірку BrowserID тверджень, розмістивши їх в browserid.org Verifier послуг. Оскільки протокол стає більш стійкою вона буде рости здатність перевірки тверджень на місці.
Конфігурація плагіна можна зробити із стандартного файлу repoze.who конфігурації ось так:
[Плагінів: BrowserID]
Використання = repoze.who.plugins.browserid: make_plugin
глядачі = www.mysite.com
rememberer_name = authtkt
[Плагінів: authtkt]
Використання = repoze.who.plugins.auth_tkt: make_plugin
Секрет = Мій Спеціальний Secret
[Ідентифікатори]
плагіни = authtkt BrowserID
[Аутентифікатор]
плагіни = authtkt BrowserID
[Претенденти]
плагіни = BrowserID
Зверніть увагу, що ми в парі плагін BrowserID зі стандартним плагіном AuthTkt так, що він може згадати логін користувача між запитами.
Налаштування
Наступні параметри можуть бути задані у файлі конфігурації, щоб налаштувати поведінку плагіна:
і NBSP; глядачі:
І NBSP; розділений пробілами список допустимих імен хостів або шаблонів Глоб для затвердження аудиторії BrowserID. Будь-яке твердження, аудиторія яких не відповідає елемент у списку, будуть відхилені.
І NBSP; Ви повинні вказати значення для цього параметра, так як він є невід'ємною частиною безпеки BrowserID. См розділ Правила безпеки для більш докладної інформації.
І NBSP; rememberer_name:
І NBSP; ім'я іншої repoze.who плагін, який повинен бути викликаний пам'ятати / забувати аутентифікацію. Це, як правило, бути реалізація зареєстровані печиво, такі як вбудований в auth_tkt плагіна. Якщо unspecificed або Ні перевірка справжності не буде пам'ятати.
І NBSP; postback_url:
І NBSP; URL, до якого BrowserID повноваження мають бути спрямовані для перевірки. Значення за замовчуванням, як ми сподіваємося конфліктувати безкоштовно: /repoze.who.plugins.browserid.postback.
І NBSP; assertion_field:
І NBSP;
І NBSP; ім'я поля POST форма, в якій знайти твердження BrowserID. Значення за замовчуванням "затвердження".
І NBSP; came_from_field:
І NBSP; ім'я поля POST формі, в якій знайти сторінки, що посилаються, до якої користувач буде перенаправлений після обробки логін. Значення за замовчуванням "came_from".
І NBSP; csrf_field:
І NBSP; ім'я поля POST форма, в якій, щоб знайти маркер захисту від CSRF. Значення за замовчуванням "csrf_token". Якщо встановлено в порожній рядок, то перевірка CSRF відключена.
І NBSP; csrf_cookie_name:
І NBSP;
І NBSP; ім'я куки, в якому, щоб встановити і знайти маркер захисту від CSRF. Ім'я за замовчуванням печиво "browserid_csrf_token". Якщо встановлено в порожній рядок, то перевірка CSRF відключена.
І NBSP; challenge_body:
І NBSP; місце, в якому, щоб знайти HTML для сторінки входу в систему, або у вигляді пунктирною посиланням пітона чи ім'я файлу. Містили HTML може використовувати пітона синтаксис інтерполяції рядків включити детальну інформацію про провокаційну, наприклад, використовувати% (csrf_token) S включити маркер CSRF.
І NBSP; verifier_url:
І NBSP; URL перевіряючого служби BrowserID, до якого всі твердження будуть розміщені для перевірки. Значення за замовчуванням стандартний browserid.org перевіряючий і повинні бути придатні для будь-яких цілей.
І NBSP; urlopen:
І NBSP; пунктирна ім'я пітон викликається реалізації і той же інтерфейс, як urllib.urlopen, який буде використовуватися для доступу до служби BrowserID перевірку. Значення утиліти за замовчуванням: secure_urlopen, який робить суворе HTTPS сертифікат перевірки за замовчуванням.
і NBSP; check_https:
І NBSP; логічне значення, яке вказує, чи слід відмовитися від спроб входу в систему за enencrypted з'єднань. Значення за замовчуванням False.
І NBSP; check_referer:
І NBSP; логічне значення, яке вказує, чи слід відмовитися від спроб входу в систему, де заголовок реферер не відповідають передбачуваної аудиторії. Замовчуванням для виконання цієї перевірки тільки для безпечних з'єднань.
Безпека Примітки
CSRF захисту
Цей плагін намагається забезпечити деяку базову захист проти Логін-CSRF атак, як описано Барт та ін. та ін. в "Надійні оборону для крос-Site Request Підробка":
І NBSP; Http: //seclab.stanford.edu/websec/csrf/csrf.pdf
У термінології вищезгаданому документі, він поєднує в собі сесії незалежний одноразове з перевіркою строгий реферер для безпечних з'єднань. Ви можете налаштувати захист, регулюючи "csrf_cookie_name", "check_referer" і "check_https" настройки.
Аудиторія Перевірка
BrowserID використовує поняття "аудиторії" для захисту від вкрадених логінів. Аудиторія прив'язує твердження BrowserID до певного комп'ютера, так що зловмисник не зможе зібрати затвердження на одному сайті, а потім використовувати їх, щоб увійти в інший.
Цей плагін виконує строго аудиторію перевірки за замовчуванням. Ви повинні надати список допустимих аудиторії рядки при створенні плагіна, і вони повинні бути специфічними для вашої програми. Наприклад, якщо ваш додаток обслуговує запити на трьох різних хостів http://mysite.com, http://www.mysite.com і http://uploads.mysite.com, ви можете забезпечити:
[Плагінів: BrowserID]
Використання = repoze.who.plugins.browserid: make_plugin
глядачі = mysite.com * .mysite.com
Якщо ваш додаток сувору перевірку заголовка HTTP хоста, то ви можете вказати плагін, щоб використовувати заголовок хоста в якості аудиторії, залишивши список порожнім:
[Плагінів: BrowserID]
Використання = repoze.who.plugins.browserid: make_plugin
аудиторій =
Це не поведінка за умовчанням, так як це може бути небезпечно в деяких системах
Що нового У цьому випуску :.
- Fix JavaScript, щоб використовувати navigator.id.get () замість застарілого navigator.id.getVerifiedEmail.
Що нового у версії 0.4.0 :.
- Міграція з PyVEP в PyBrowserID
Що нового у версії 0.3.0:
- Оновлення для API сумісності з PyVEP і Гт = 0,3. 0.
Що нового у версії 0.2.1:
- Оновлення для API сумісності з PyVEP і Гт = 0,2. 0.
Що нового у версії 0.2.0:
- Refactor код перевірки в Standand ізольованою бібліотеці імені і Quot ;. PyVEP і Quot;, який в даний час залежність
Вимоги
- Python
Коментар не знайдено