repoze.who.plugins.browserid е repoze.who плъгин за удостоверяване чрез проект на Mozilla BrowserID:
& Nbsp; HTTPS: //browserid.org/
Той в момента поддържа проверка на BrowserID твърдения, като ги публикувате в службите на browserid.org проверяващия. Тъй като протоколът става по-стабилна то ще расте способността да провери твърденията на местно ниво.
Конфигурация на плъгин може да се направи от стандартната repoze.who конфигурационния файл така:
[Плъгин: browserid]
използване = repoze.who.plugins.browserid: make_plugin
аудитории = www.mysite.com
rememberer_name = authtkt
[Плъгин: authtkt]
използване = repoze.who.plugins.auth_tkt: make_plugin
тайна = My Special Secret
[идентификатори]
плъгини = authtkt browserid
[authenticators]
плъгини = authtkt browserid
[претенденти]
плъгини = browserid
Имайте предвид, че ние сме в двойка плъгина BrowserID със стандартната AuthTkt плъгин, така че да мога да си спомня влизане на потребителя в цяла искания.
<Силен> персонализиране
Следните настройки могат да бъдат определени в конфигурационния файл, за да персонализирате поведението на плъгина:
& Nbsp; публика:
& Nbsp; A, разделени списък на приемливи имена на хостове или Глоб модели за твърдението публиката на BrowserID. Всяко твърдение, чиято аудитория не съвпада елемент в списъка, ще бъдат отхвърлени.
& Nbsp; Трябва да посочите стойност за тази настройка, тъй като тя е неразделна част от сигурността на BrowserID. Вижте раздела за сигурност отбелязва по-долу за повече информация.
& Nbsp; rememberer_name:
& Nbsp; а името на друг repoze.who плъгин, който трябва да се нарича да си спомня / забравяме удостоверяване. Това обикновено ще бъде изпълнението на подписан-бисквитка като вградената auth_tkt плъгин. Ако unspecificed или None след удостоверяване няма да бъде запомнен.
& Nbsp; postback_url:
& Nbsp; URL адресът, към който BrowserID пълномощията трябва да бъде изпратен за утвърждаване. Стойността по подразбиране е да се надяваме да влязат в конфликт безплатно: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Името на областта на POST формуляр, в който да се намери твърдението BrowserID. Стойността по подразбиране е "твърдение".
& Nbsp; came_from_field:
& Nbsp; Името на областта на POST формуляр, в който да намерите позовавайки страницата, до която потребителят ще бъде пренасочен след обработката им вход. Стойността по подразбиране е "came_from".
& Nbsp; csrf_field:
& Nbsp; Името на областта на POST формуляр, в който да се намери причина за защита CSRF. Стойността по подразбиране е "csrf_token". Ако е празен низ след CSRF проверка е забранено.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Името на бисквитката, в която да се определят и да намерят причина за защита CSRF. По подразбиране името на бисквитка "browserid_csrf_token". Ако е празен низ след CSRF проверка е забранено.
& Nbsp; challenge_body:
& Nbsp; Мястото, на което да се намери на HTML за страницата за вход, или като пунктирана препратка питон или името на файла. В контролирани HTML може да използва Python низ интерполация синтаксис да включва подробности за влизане, например използвате% (csrf_token) да включи жетона CSRF.
& Nbsp; verifier_url:
& Nbsp; URL адресът на проверяващ услугата BrowserID, към който всички твърдения ще бъдат командировани за проверка. Стойността по подразбиране е стандартната browserid.org проверяващия и трябва да е подходяща за всякакви цели.
& Nbsp; urlopen:
& Nbsp; пунктирана питон името на изискуеми за прилагане на същия API като urllib.urlopen, който ще се използва за достъп до услугата на BrowserID проверяващия по. Utils на стойност по подразбиране: secure_urlopen което прави строга сертификат HTTPS проверка по подразбиране.
& Nbsp; check_https:
& Nbsp; Булева, посочваща дали да отхвърли опити за влизане през enencrypted връзки. Стойността по подразбиране е False.
& Nbsp; check_referer:
& Nbsp; Булева, посочваща дали да отхвърли опити за влизане, където заглавието на референтът не съответстват на очакваното публиката. По подразбиране е да се извърши тази проверка само за сигурни връзки.
<Силен> Security отбелязва
CSRF защита
Този плъгин се опитаме да дадем някои основни защита срещу влизане-CSRF атаки, както е описано от Барт et. Al. в "Здрав Defenses за Cross-Site Заявка фалшифициране":
& Nbsp; HTTP: //seclab.stanford.edu/websec/csrf/csrf.pdf
В терминологията на над хартията, той съчетава сесия-независима nВеднага щом със строг референтът проверка за сигурни връзки. Можете да ощипвам защитата чрез коригиране на "csrf_cookie_name", "check_referer" и настройките "check_https".
Публика Проверка
BrowserID използва понятието за "публика", за да се защитят срещу откраднати данни за вход. Публиката им завързва твърдението BrowserID до определен хост, така че нападателят не може да събере твърдения на едно място и след това да ги използвате, за да влезете в друг.
Този плъгин изпълнява стриктно аудитория проверка по подразбиране. Трябва да се състави списък на приемлива низ аудитория при създаването на приставката, и те трябва да бъдат специфични за вашата кандидатура. Например, ако вашето приложение служи искания на три различни имена на хостове http://mysite.com, http://www.mysite.com и http://uploads.mysite.com, може да се осигури:
[Плъгин: browserid]
използване = repoze.who.plugins.browserid: make_plugin
аудитории = mysite.com * .mysite.com
Ако вашето приложение прави строга проверка на заглавната част на HTTP домакин, след това можете да възложи на плъгин за използване на заглавната Host като публика, като оставяха списък заготовката:
[Плъгин: browserid]
използване = repoze.who.plugins.browserid: make_plugin
аудитории =
Това не е поведението по подразбиране, тъй като тя може да бъде несигурен относно някои системи
Какво ново в тази версия:.
- Fix JavaScript за да ползвате navigator.id.get () вместо отхвърлената navigator.id.getVerifiedEmail.
Какво ново във версия 0.4.0:.
- мигрират от PyVEP да PyBrowserID
Какво ново във версия 0.3.0:
- Актуализация за API съвместимост с PyVEP & GT; = 0,3. 0.
Какво ново във версия 0.2.1:
- Актуализация за API съвместимост с PyVEP & GT; = 0,2. 0.
Какво ново във версия 0.2.0:
- проверка Refactor код в standand-сам библиотека име & quot;. PyVEP & quot ;, която сега е зависимостта
<силни> Изисквания :
- Python
Коментари не е намерена