repoze.who.plugins.browserid je repoze.who plugin pro autentizaci přes projekt Mozilla BrowserID:
& Nbsp; https: //browserid.org/
V současné době podporuje ověření BrowserID tvrzení jejím zveřejněním na browserid.org ověřovatelů služeb. Vzhledem k tomu, protokol stává stabilnější, že bude růst schopnost ověřit tvrzení lokálně.
Konfigurace pluginu lze provést ze standardního repoze.who konfiguračním souboru takto:
[Plugin: browserid]
Použití = repoze.who.plugins.browserid: make_plugin
publika = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
Použití = repoze.who.plugins.auth_tkt: make_plugin
Tajemství = My Special Secret
[identifikátory]
plugins = authtkt browserid
[autentizátory]
plugins = authtkt browserid
[vyzyvatelů]
plugins = browserid
Všimněte si, že jsme nespárovali BrowserID plugin se standardním AuthTkt plugin tak, že si pamatuji, přihlášení uživatele mezi požadavky.
Přizpůsobení
Následující nastavení lze zadat v konfiguračním souboru přizpůsobit chování plugin:
& nbsp; publika:
& Nbsp; prostor oddělený seznam přijatelných hostitelů nebo glob vzory pro BrowserID tvrzení publikum. Jakékoli tvrzení, jejichž publikum neodpovídá položka v seznamu budou zamítnuty.
& Nbsp; je nutné zadat hodnotu pro toto nastavení, protože je nedílnou součástí bezpečnosti BrowserID. Viz část Bezpečnostní poznámky níže pro více informací.
& Nbsp; rememberer_name:
& Nbsp; název jiné repoze.who plugin, který by měl být povolán pamatovat / zapomenout na ověřování. To by obvykle realizace přihlášen cookie, jako je vestavěný auth_tkt plugin. Pokud unspecificed nebo None pak nebude vzpomínat ověřování.
& Nbsp; postback_url:
& Nbsp; URL, na kterou BrowserID pověření by měla být předána k ověření. Výchozí hodnota je snad bezkonfliktní: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; název pole POST formuláře, ve kterém najít tvrzení BrowserID. Výchozí hodnota je "tvrzení".
& Nbsp; came_from_field:
& Nbsp; Název POST pole formuláře, ve kterém chcete najít odkazující stránku, na které bude uživatel přesměrován po zpracování jejich přihlášení. Výchozí hodnota je "came_from".
& Nbsp; csrf_field:
& Nbsp; název pole POST formuláře, ve kterém se najít ochrany tokenu CSRF. Výchozí hodnota je "csrf_token". Pokud je nastavena na prázdný řetězec pak kontrola CSRF je zakázáno.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Název cookie na to, aby nastavení a najít ochranu CSRF token. Výchozí název cookie "browserid_csrf_token". Pokud je nastavena na prázdný řetězec pak kontrola CSRF je zakázáno.
& Nbsp; challenge_body:
& Nbsp; místa, kde najít HTML na přihlašovací stránku, a to buď jako tečkovaná odkaz python nebo souboru. Obsahovaly HTML může používat Python syntaxi řetězec interpolace, která obsahují údaje o výzvu, např použít% (csrf_token) S zahrnout CSRF token.
& Nbsp; verifier_url:
& Nbsp; URL ověřovatele služby BrowserID, na které všichni tvrzení budou zveřejněny pro kontrolu. Výchozí hodnota je standardní browserid.org ověřovatel a měla by být vhodné pro všechny účely.
& Nbsp; urlopen:
& Nbsp; Přerušovaná název python z callable provádění stejné API jako urllib.urlopen, který bude použit pro přístup ke BrowserID ověřovatele služby. Výchozí hodnota utils: secure_urlopen který dělá přísné HTTPS certifikát kontroly ve výchozím nastavení.
& nbsp; check_https:
& Nbsp; Boolean udávající, zda odmítnout pokusy o přihlášení přes enencrypted připojení. Výchozí hodnota je False.
& Nbsp; check_referer:
& Nbsp; Boolean udávající, zda odmítnout pokusy o přihlášení, kde záhlaví referer neodpovídá očekávané publikum. Výchozí hodnota je provést tuto kontrolu na pouze zabezpečené připojení.
Bezpečnostní Notes
Ochrana CSRF
Tento plugin se snaží zajistit určitou základní ochranu proti login-CSRF útoky, jak popsal Barth et. al. v "Robustní obrana Cross-Site Request Forgery":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
V terminologii výše uvedeného příspěvku, v sobě spojuje relace nezávislý kódového slova s kontrolou přísné referer pro bezpečné připojení. Můžete upravit ochranu úpravou "csrf_cookie_name", "check_referer" a "check_https" nastavení.
Publikum Kontrola
BrowserID používá pojem "Publikum", chránit před ukradených přihlášení. Diváci váže k tvrzení BrowserID do určitého hostitele, takže útočník nemůže vybírat tvrzení na jedné stránce a pak použít pro přihlášení do druhé.
Tento plugin provádí přísné publikum kontrolu ve výchozím nastavení. Musíte poskytnout seznam přijatelné publika řetězce při vytváření plugin, a měly by být specifické pro vaši aplikaci. Například, pokud vaše aplikace slouží požadavky na třech různých hostitelů http://mysite.com, http://www.mysite.com a http://uploads.mysite.com, můžete poskytnout:
[Plugin: browserid]
Použití = repoze.who.plugins.browserid: make_plugin
publika = mysite.com * .mysite.com
Pokud vaše aplikace provádí přísné kontroly HTTP hlavičky hostitele, pak můžete instruovat plugin použít záhlaví hostitele jako publikum tím, že opustí seznam prázdný:
[Plugin: browserid]
Použití = repoze.who.plugins.browserid: make_plugin
publikem =
To není výchozí chování, protože to může být nejistý v některých systémech
Co je nového v této verzi:.
- Fix javascript používat navigator.id.get () namísto zastaralé navigator.id.getVerifiedEmail.
Co je nového ve verzi 0.4.0:.
- Migrace z PyVEP do PyBrowserID
Co je nového ve verzi 0.3.0:
- Aktualizace API kompatibilitu s PyVEP & gt; = 0,3. 0.
Co je nového ve verzi 0.2.1:
- Aktualizace API kompatibilitu s PyVEP & gt; = 0,2. 0.
Co je nového ve verzi 0.2.0:
- ověřovací Refactor kód do knihovny standand samostatnou pojmenovaný & quot;. PyVEP-quot ;, který je nyní závislost
Požadavky na :
- Python
Komentáře nebyl nalezen