repoze.who.plugins.browserid jest plugin repoze.who projektu do uwierzytelniania za pomocą Mozilli BrowserID:
& Nbsp; https: //browserid.org/
Obecnie obsługuje weryfikację twierdzeń BrowserID zamieszczając je do usług browserid.org weryfikatora. Jako protokół staje się bardziej stabilny będzie rosnąć możliwość weryfikacji twierdzeń lokalnie.
Konfiguracja wtyczki można zrobić ze standardowego pliku repoze.who config tak:
[Plugin: browserid]
Zastosowanie = repoze.who.plugins.browserid: make_plugin
widzowie = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
Zastosowanie = repoze.who.plugins.auth_tkt: make_plugin
Sekret = Moja specjalna Secret
[identyfikator]
plugins = authtkt browserid
[uwierzytelniające]
plugins = authtkt browserid
[zawodnicy]
plugins = browserid
Należy pamiętać, że mamy w połączeniu wtyczki BrowserID ze standardową wtyczką AuthTkt tak, że może pamiętać logowania użytkownika we wszystkich wniosków.
Personalizacja
Poniższe ustawienia mogą zostać określone w pliku konfiguracyjnym, aby dostosować zachowanie wtyczki:
& nbsp; publiczność:
& Nbsp; spacjami lista dopuszczalnych hostów lub wzory glob twierdzenie publiczności BrowserID. Każde twierdzenie, którego widzowie nie odpowiada pozycja na liście, zostaną odrzucone.
& Nbsp; należy określić wartość tego ustawienia, ponieważ jest integralną bezpieczeństwa BrowserID. Zobacz sekcję Uwagi zabezpieczeń poniżej więcej szczegółów.
& Nbsp; rememberer_name:
& Nbsp; nazwa innego pluginu repoze.who który powinien być nazywany pamiętać / zapominać uwierzytelniania. To zazwyczaj wdrożenie podpisała-ciasteczko, takie jak wbudowany plugin auth_tkt. Jeśli unspecificed lub Brak następnie uwierzytelniania nie będzie pamiętał.
& Nbsp; postback_url:
& Nbsp; adres URL, do którego BrowserID poświadczenia należy przesłać do zatwierdzenia. Domyślna wartość to mam nadzieję, że w konflikcie darmo: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; nazwa pola formularza POST, w którym znaleźć twierdzenie BrowserID. Domyślną wartością jest "stwierdzenie".
& Nbsp; came_from_field:
& Nbsp; nazwa pola formularza POST w którym, aby znaleźć stronę krajowemu, do której użytkownik zostanie przekierowany po przetworzeniu ich logowanie. Domyślną wartością jest "came_from".
& Nbsp; csrf_field:
& Nbsp; nazwa pola formularza POST, w którym znaleźć ochrony tokena CSRF. Domyślną wartością jest "csrf_token". Jeśli jest ustawiony na pusty ciąg następnie CSRF sprawdzanie jest wyłączone.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; nazwa pliku cookie, w których ustawienie i znaleźć wyraz ochrony CSRF. Domyślna nazwa pliku cookie "browserid_csrf_token". Jeśli jest ustawiony na pusty ciąg następnie CSRF sprawdzanie jest wyłączone.
& Nbsp; challenge_body:
& Nbsp; miejsce, w którym znaleźć kod HTML na stronę logowania, albo przerywaną odniesienia Pythona lub nazwy pliku. Zawierały HTML może używać składni Pythona interpolacji ciąg zawierać szczegóły prowokacji, np wykorzystać% (csrf_token) y zawierać token CSRF.
& Nbsp; verifier_url:
& Nbsp; URL usługi weryfikatora BrowserID, do którego wszystkie twierdzenia zostaną wysłane do sprawdzenia. Wartość domyślna to standardowy browserid.org weryfikator i powinna być odpowiednia do wszystkich celów.
& Nbsp; urlopen:
& Nbsp; przerywana Nazwa python z wpłacone realizacji samego API jako urllib.urlopen, który będzie używany do uzyskania dostępu do usługi BrowserID weryfikatora. Domyślne wartości: secure_urlopen utils, który robi ścisłe sprawdzanie certyfikatu HTTPS domyślnie.
& nbsp; check_https:
& Nbsp; logiczna wskazująca, czy odrzucenie prób logowania przez połączenia enencrypted. Wartością domyślną jest false.
& Nbsp; check_referer:
& Nbsp; logiczna wskazująca, czy odrzucić próby logowania, gdzie nagłówek referer nie odpowiadające przewidywanemu publiczność. Domyślnie jest to, aby wykonać tę czek na tylko bezpiecznych połączeń.
Zabezpieczenia Uwagi
Ochrona CSRF
Wtyczka ta stara się zapewnić jakąś podstawową ochronę przed atakami login-CSRF opisane przez Barth i in. al. w "Solidne obrony na żądanie Fałszerstwami Cross-Site":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
W terminologii powyższym artykule, to łączy niezależne jednorazowego sesji z ścisłe referer sprawdzania bezpiecznych połączeń. Możesz dostosować ochrony poprzez regulację "csrf_cookie_name" ustawienia "check_https", "check_referer" i.
Sprawdzanie Publiczności
BrowserID używa pojęcia "publiczności" w celu ochrony przed kradzieży loginów. Publiczność wiąże się twierdzenie BrowserID do konkretnego komputera, tak, że atakujący nie może zebrać twierdzeń w jednym miejscu, a następnie wykorzystać je do logowania się do innego.
Wtyczka wykonuje sprawdzanie ścisłe publiczność domyślnie. Musisz podać listę dopuszczalnym ciąg publiczności podczas tworzenia wtyczki, i powinny być specyficzne dla danej aplikacji. Na przykład, jeśli aplikacja służy wnioski na trzech różnych hostów http://mysite.com, http://www.mysite.com i http://uploads.mysite.com, może dostarczyć:
[Plugin: browserid]
Zastosowanie = repoze.who.plugins.browserid: make_plugin
widzowie = mysite.com * .mysite.com
Jeśli aplikacja ma ścisłe sprawdzanie nagłówka HTTP Host, można polecić plugin do korzystania z nagłówka hosta jako publiczność, pozostawiając listy puste:
[Plugin: browserid]
Zastosowanie = repoze.who.plugins.browserid: make_plugin
Audiencje =
Nie jest to zachowanie domyślne, ponieważ może to być niebezpieczne w niektórych systemach
Co nowego w tym wydaniu:.
- Fix javascript, aby korzystać z navigator.id.get () zamiast nieaktualnych navigator.id.getVerifiedEmail.
Co nowego w wersji 0.4.0:.
- Migracja z PyVEP do PyBrowserID
Co nowego w wersji 0.3.0:
- Aktualizacja API kompatybilności z PyVEP & gt; = 0,3. 0.
Co nowego w wersji 0.2.1:
- Aktualizacja API kompatybilności z PyVEP & gt; = 0,2. 0.
Co nowego w wersji 0.2.0:
- Kod weryfikacyjny Refactor do biblioteki standand-alone nazwie & quot;. & quot ;, PyVEP która jest obecnie zależność
Wymagania :
- Python
Komentarze nie znaleziono