repoze.who.plugins.browserid är en repoze.who plugin för autentisering via Mozillas BrowserID projekt:
& Nbsp; https: //browserid.org/
Det stöder för närvarande verifiering av BrowserID påståenden genom att posta dem till browserid.org verifieringstjänster. När protokollet blir stabilare det kommer att växa förmågan att verifiera påståenden lokalt.
Konfiguration av plugin kan göras från standard repoze.who konfigurationsfil som så:
[Plugin: browserid]
användning = repoze.who.plugins.browserid: make_plugin
publik = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
användning = repoze.who.plugins.auth_tkt: make_plugin
hemligt = Min hemlighet
[identifierare]
insticks = authtkt browserid
[autentiserare]
insticks = authtkt browserid
[utmanar]
insticks = browserid
Observera att vi har parat ihop den BrowserID plugin med standarden AuthTkt plugin så att den kan komma ihåg användarens inloggning över förfrågningar.
Anpassning
Följande inställningar kan anges i konfigurationsfilen för att anpassa beteendet hos plugin:
& nbsp; målgrupper:
& Nbsp; En rymdseparerad lista med acceptabla värdnamn eller glob-mönster för BrowserID påstående publiken. Varje påstående vars publik inte matchar en post i listan kommer att avvisas.
& Nbsp; Du måste ange ett värde för denna inställning, eftersom det är en integrerad del av säkerheten i BrowserID. Se Säkerhets Notes nedan för mer information.
& Nbsp; rememberer_name:
& Nbsp; Namnet på en annan repoze.who plugin som bör kallas att minnas / glömma autentisering. Detta skulle normalt vara en implementering undertecknad-cookien såsom inbyggda auth_tkt plugin. Om unspecificed eller Ingen sedan autentisering inte kommer att bli ihåg.
& Nbsp; postback_url:
& Nbsp; Den URL som BrowserID referenser ska skickas för validering. Standardvärdet är förhoppningsvis konflikt gratis: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Namnet på POST formulärfält där för att hitta den BrowserID påstående. Standardvärdet är "påstående".
& Nbsp; came_from_field:
& Nbsp; Namnet på POST formulärfält där för att hitta den nationella sidan, som användaren kommer att omdirigeras efter bearbetning sin inloggning. Standardvärdet är "came_from".
& Nbsp; csrf_field:
& Nbsp; Namnet på POST formulärfält där för att hitta den CSRF skyddstoken. Standardvärdet är "csrf_token". Om satt till den tomma strängen sedan CSRF kontroll är inaktiverad.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Namnet på cookien där för att ställa in och hitta CSRF skyddstoken. Standard cookien Namnet "browserid_csrf_token". Om satt till den tomma strängen sedan CSRF kontroll är inaktiverad.
& Nbsp; challenge_body:
& Nbsp; Den plats där för att hitta HTML för inloggningssidan, antingen som en prickad python referens eller ett filnamn. Den innehöll HTML får använda python sträng interpole syntax för att innehålla uppgifter om utmaningen, t.ex. Använd% (csrf_token) s att inkludera CSRF token.
& Nbsp; verifier_url:
& Nbsp; URL: en för BrowserID kontrollanten tjänst, till vilken alla påståenden kommer att läggas upp för kontroll. Standardvärdet är standard browserid.org kontrollanten och bör vara lämpliga för alla ändamål.
& Nbsp; urlopen:
& Nbsp; Den streckade Python namnet på en anropbart att tillämpa samma API som urllib.urlopen, som kommer att användas för att komma åt BrowserID kontrollanten tjänsten. Standardvärdet utils: secure_urlopen vilket gör strikt HTTPS certifikat kontroll som standard.
& nbsp; check_https:
& Nbsp; Boolean som anger om att förkasta inloggningsförsök över enencrypted anslutningar. Standardvärdet är False.
& Nbsp; check_referer:
& Nbsp; Boolean som anger om att förkasta inloggningsförsök där referer header inte matchar den förväntade publiken. Standard är att utföra denna kontroll endast säkra anslutningar.
Säkerhet Notes
CSRF Skydd
Detta plugin försöker ge några grundläggande skydd mot inloggning-CSRF attacker som beskrivs av Barth et. al. i "robusta försvar för Cross-Site Request Forgery":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
I terminologin av ovanstående papper, kombinerar en session oberoende nonce med strikt referer kontroll för säkra anslutningar. Du kan justera skyddet genom att justera "csrf_cookie_name", "check_referer" och "check_https" inställningar.
Publik Kontroll
BrowserID använder begreppet en "publik" för att skydda mot stulna inloggningar. Publiken knyter en BrowserID påstående till en specifik värd, så att en angripare inte kan samla påståenden på en plats och sedan använda dem för att logga in på en annan.
Denna plugin utför strikt publik kontroll som standard. Du måste tillhandahålla en förteckning över acceptabel publik sträng när du skapar plugin, och de bör vara specifika för din ansökan. Till exempel, om din ansökan tjänar förfrågningar på tre olika värdnamn http://mysite.com, http://www.mysite.com och http://uploads.mysite.com kan du ge:
[Plugin: browserid]
användning = repoze.who.plugins.browserid: make_plugin
publik = mysite.com * .mysite.com
Om din ansökan gör strikt kontroll av HTTP Host header, då kan du instruera plugin för att använda värdhuvudet som publiken genom att lämna listan tomt:
[Plugin: browserid]
användning = repoze.who.plugins.browserid: make_plugin
publik =
Detta är inte standardbeteendet eftersom det kan vara osäkert på vissa system
Vad är nytt i den här versionen:.
- Fix javascript att använda navigator.id.get () i stället för den föråldrat navigator.id.getVerifiedEmail.
Vad är nytt i version 0.4.0:.
- Migrera från PyVEP till PyBrowserID
Vad är nytt i version 0.3.0:
- Uppdatering för API kompatibilitet med PyVEP & gt; = 0,3. 0.
Vad är nytt i version 0.2.1:
- Uppdatering för API kompatibilitet med PyVEP & gt; = 0,2. 0.
Vad är nytt i version 0.2.0:
- Refactor verifieringskod till en standand alone bibliotek som heter & quot;. PyVEP & quot ;, som nu är ett beroende
Krav :
- Python
Kommentarer hittades inte