repoze.who.plugins.browserid er en repoze.who plugin for autentisering via Mozillas BrowserID prosjekt:
& Nbsp; https: //browserid.org/
Den støtter foreløpig verifisering av BrowserID påstander ved å legge dem til browserid.org bekreft tjenester. Som protokollen blir mer stabil vil den vokse muligheten til å verifisere påstandene lokalt.
Konfigurasjon av plugin kan gjøres fra den standard repoze.who config filen slik:
[Plugin: browserid]
bruk = repoze.who.plugins.browserid: make_plugin
målgrupper = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
bruk = repoze.who.plugins.auth_tkt: make_plugin
hemmelig = My Special Secret
[identifikatorer]
plugins = authtkt browserid
[autentikatorer]
plugins = authtkt browserid
[utfordrere]
plugins = browserid
Merk at vi har koblet BrowserID plugin med standard AuthTkt plugin slik at den kan huske brukerens innloggings tvers forespørsler.
Tilpasning
Følgende innstillinger kan spesifiseres i konfigurasjonsfilen for å tilpasse oppførselen til plugin:
& nbsp; målgrupper:
& Nbsp; A space-separert liste over akseptable vertsnavn eller glob mønstre for BrowserID påstand publikum. Enhver påstand som publikum ikke samsvarer med et element i listen vil bli avvist.
& Nbsp; Du må angi en verdi for denne innstillingen, siden det er en integrert del av sikkerheten til BrowserID. Se Sikkerhetsmerknader nedenfor for mer informasjon.
& Nbsp; rememberer_name:
& Nbsp; Navnet på en annen repoze.who plugin som bør kalles for å huske / glemme godkjenning. Dette vil typisk være en signert-cookie gjennomføringen slik som den innebygde auth_tkt plugin. Hvis unspecificed eller Ingen deretter autentisering vil ikke bli husket.
& Nbsp; postback_url:
& Nbsp; URL som BrowserID legitimasjon skal sendes for validering. Standardverdien er forhåpentligvis konflikt gratis: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Navnet på feltet POST i hvilken form for å finne den BrowserID påstand. Standardverdien er "påstanden".
& Nbsp; came_from_field:
& Nbsp; Navnet på POST skjemafeltet som å finne den henvisende side, som brukeren vil bli omdirigert etter behandlingen deres innlogging. Standardverdien er "came_from".
& Nbsp; csrf_field:
& Nbsp; Navnet på feltet POST i hvilken form for å finne beskyttelse token CSRF. Standardverdien er "csrf_token". Hvis satt til en tom streng deretter CSRF sjekking er deaktivert.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Navnet på cookie som å stille inn og finne den token CSRF beskyttelse. Standard cookie navn er "browserid_csrf_token". Hvis satt til en tom streng deretter CSRF sjekking er deaktivert.
& Nbsp; challenge_body:
& Nbsp; Plassering på å finne den HTML for påloggingssiden, enten som en stiplet python referanse eller et filnavn. Den inneholdt HTML kan bruke python streng interpole syntaks for å inkludere detaljer om utfordringen, f.eks bruk% (csrf_token) s å inkludere CSRF token.
& Nbsp; verifier_url:
& Nbsp; URL-en BrowserID bekreft service, som alle påstander vil bli lagt ut for å sjekke. Standardverdien er standard browserid.org bekreft og bør være egnet for alle formål.
& Nbsp; urlopen:
& Nbsp; Den stiplede python navnet på en callable å gjennomføre det samme API som urllib.urlopen, som vil bli brukt til å få tilgang til BrowserID bekreft tjenesten. Standardverdien utils: secure_urlopen som gjør strenge HTTPS sertifikat sjekker som standard.
& nbsp; check_https:
& Nbsp; boolsk angir om å avvise påloggingsforsøk i løpet enencrypted tilkoblinger. Standardverdien er False.
& Nbsp; check_referer:
& Nbsp; boolsk angir om å avvise påloggingsforsøk der referer header ikke samsvarer med forventet publikum. Standard er å utføre denne kontrollen for sikre tilkoblinger.
Sikkerhet Merknader
CSRF Protection
Dette programtillegget forsøker å gi noen grunnleggende beskyttelse mot login-CSRF-angrep som beskrevet av Barth et. al. i "Robuste Forsvar for Cross-Site Request Forgery":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
I terminologien av de ovennevnte papir, og kombinerer det en økt uavhengig nonce med strenge referer sjekker for sikre tilkoblinger. Du kan finjustere beskyttelse ved å justere "csrf_cookie_name", "check_referer" og "check_https" innstillinger.
Publikum Kontroll
BrowserID bruker forestillingen om en "publikum" for å beskytte mot stjålne innlogginger. Publikum knytter en BrowserID påstand til en bestemt vert, slik at en angriper kan ikke samle påstander på ett sted og deretter bruke dem til å logge på en annen.
Dette programtillegget utfører strenge publikum sjekker som standard. Du må gi en liste over akseptabelt publikum streng når du oppretter plugin, og de bør være spesifikke for din søknad. For eksempel, hvis søknaden serverer forespørsler på tre forskjellige vertsnavn http://mysite.com, http://www.mysite.com og http://uploads.mysite.com, kan du gi:
[Plugin: browserid]
bruk = repoze.who.plugins.browserid: make_plugin
målgrupper = mysite.com * .mysite.com
Hvis søknaden ikke streng kontroll av HTTP Host header, så kan du instruere plugin for å bruke Host header som publikum ved å la listen blank:
[Plugin: browserid]
bruk = repoze.who.plugins.browserid: make_plugin
publikum =
Dette er ikke standard oppførsel siden det kan være usikker på noen systemer
Hva er nytt i denne utgaven:.
- Fix script for å bruke navigator.id.get () i stedet for det nedgraderte navigator.id.getVerifiedEmail.
Hva er nytt i versjon 0.4.0:.
- migrere fra PyVEP til PyBrowserID
Hva er nytt i versjon 0.3.0:
- Oppdatering for API kompatibilitet med PyVEP & gt; = 0,3. 0.
Hva er nytt i versjon 0.2.1:
- Oppdatering for API kompatibilitet med PyVEP & gt; = 0,2. 0.
Hva er nytt i versjon 0.2.0:
- refactor verifiseringskoden til en standand stående bibliotek oppkalt & quot;. PyVEP & quot ;, som nå er en avhengighet
Krav :
- Python
Kommentarer ikke funnet