repoze.who.plugins.browserid

repoze.who.plugins.browserid Mozilla BrowserID projesi ile kimlik doğrulama için bir repoze.who eklentisi:
& Nbsp; https: //browserid.org/
Şu anda browserid.org Doğrulayıcı hizmetlerine göndererek BrowserID iddiaların doğrulanması destekler. Protokol daha istikrarlı hale geldikçe yerel olarak onaylamaları doğrulamak için yeteneği büyüyecek.
Eklentinin yapılandırma böylece gibi standart repoze.who yapılandırma dosyasından yapılabilir:
[Eklenti: browserid]
kullanım = repoze.who.plugins.browserid: make_plugin
izleyiciler = www.mysite.com
rememberer_name = authtkt
[Eklenti: authtkt]
kullanım = repoze.who.plugins.auth_tkt: make_plugin
Gizli = My Özel Sırrı
[Tanımlayıcılar]
eklentileri = authtkt browserid
[Doğrulayıcı]
eklentileri = authtkt browserid
[Challengers]
eklentileri = browserid
Bu istekleri karşısında kullanıcının giriş hatırlıyorum böylece standart AuthTkt eklentisi ile BrowserID eklentisi eşleştirilmiş olduğunu unutmayın.
Özelleştirme
Aşağıdaki ayarlar eklenti davranışını özelleştirmek için yapılandırma dosyasında belirtilebilir:
& Nbsp; kitleler:
& Nbsp; BrowserID iddiası izleyici için kabul edilebilir hostname veya glob desen bir boşlukla ayrılmış listesi. Olan seyirci Herhangi iddianın listesinde bir öğe reddedilecektir eşleşmiyor.
& Nbsp; bu BrowserID güvenliği ayrılmaz olduğundan, bu ayar için bir değer belirtmeniz gerekir. Daha fazla bilgi için aşağıdaki Güvenlik Notlar bölümüne bakın.
& Nbsp; rememberer_name:
& Nbsp; / hatırlamak kimlik unutmak için çağrılmalıdır başka repoze.who eklenti adı. Bu tipik olarak yerleşik auth_tkt eklentisi olarak imzalı-çerez uygulaması olacaktır. Unspecificed veya Yok ardından kimlik hatırlanacak yapmazsa.
& Nbsp; postback_url:
& Nbsp; kimlik BrowserID URL doğrulama için gönderilmesi gerekir. Varsayılan değer umarım ücretsiz çakışabilir edilir: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; POST form alanının adı olan BrowserID iddiasını bulmak için. Varsayılan değer "iddiası" dir.
& Nbsp; came_from_field:
& Nbsp; atıfta sayfayı bulmak için POST form alanı, adını hangi kullanıcı kendi oturum işledikten sonra yönlendirileceksiniz için. Varsayılan değer "came_from" dir.
& Nbsp; csrf_field:
& Nbsp; POST form alanının adı olan CSRF koruma belirteci bulmak için. Varsayılan değer "csrf_token" dir. Daha sonra boş bir dizeye ayarlanırsa CSRF denetimi devre dışı bırakılır.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; çerez adı olan set ve CSRF koruması belirteci bulmak için. Varsayılan çerez adı "browserid_csrf_token" dır. Daha sonra boş bir dizeye ayarlanırsa CSRF denetimi devre dışı bırakılır.
& Nbsp; challenge_body:
& Nbsp; de konumu ya noktalı piton başvuru veya dosya adı olarak, giriş sayfası için HTML bulmak için. içeriyordu HTML meydan, örneğin detaylarını içerecek şekilde Python dize enterpolasyon sözdizimi kullanabilirsiniz CSRF simgeyi eklemek için (% csrf_token) s kullanın.
& Nbsp; verifier_url:
& Nbsp; BrowserID doğrulayıcı hizmet, URL hangi tüm iddialar kontrol etmek için ilan edilecektir için. varsayılan değer standart browserid.org Doğrulayıcı ve tüm amaçlar için uygun olmalıdır.
& Nbsp; urlopen:
& Nbsp; BrowserID doğrulayıcı hizmetine erişmek için kullanılacak urllib.urlopen aynı API, uygulama bir çağrılabilir noktalı piton adı. Varsayılan değer utils: varsayılan olarak kontrol sıkı HTTPS sertifikası yok hangi secure_urlopen.
& Nbsp; check_https:
& Nbsp; Boole enencrypted bağlantılar üzerinden giriş girişimlerini reddetmek için olmadığını belirten. Varsayılan değer False.
& Nbsp; check_referer:
& Nbsp; Boole referer başlığı beklenen seyirci eşleşmiyor giriş girişimlerini reddetmek için olmadığını belirten. Varsayılan Güvenli bağlantılar sadece bu denetimi yapmaktır.
Güvenlik Notları
CSRF Koruması
Bu eklenti Barth ve diğerleri tarafından açıklandığı gibi giriş-CSRF saldırılarına karşı bazı temel koruma sağlamak için çalışır. ark. "Çapraz-Site Request Sahte için sağlam Savunmalar" in:
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Yukarıdaki yazıda terminolojisinde, bu sıkı referer güvenli bağlantılar için denetimi ile oturum bağımsız nonce birleştirir. Siz "csrf_cookie_name", "check_referer" ve "check_https" ayarlarını ayarlayarak koruma çimdik.
İzleyici Denetleme
BrowserID çalıntı oturumları karşı korumak için bir "izleyici" kavramını kullanır. Bir saldırganın bir sitede onaylamaları toplamak ve daha sonra başka bir oturum için bunları kullanmayın böylece seyirci, belirli bir ana bilgisayara bir BrowserID iddiasını bağlar.
Bu eklenti varsayılan olarak kontrol sıkı seyirci gerçekleştirir. Eklenti oluştururken kabul izleyici dize listesini sağlaması gerekir, ve onlar uygulamaya özgü olmalıdır. Örneğin, eğer uygulama üç farklı konak istekleri hizmet vermektedir http://mysite.com, http://www.mysite.com ve http://uploads.mysite.com, sen sağlayabilir:
[Eklenti: browserid]
kullanım = repoze.who.plugins.browserid: make_plugin
izleyiciler = mysite.com * .sitem.com
Uygulama HTTP Sunucu başlığının sıkı denetimi yaparsa, o zaman liste boş bırakarak izleyici olarak Host başlığını kullanmak için eklenti talimat verebilirsiniz:
[Eklenti: browserid]
kullanım = repoze.who.plugins.browserid: make_plugin
izleyiciler =
Bu bazı sistemlerde güvensiz olabilir çünkü varsayılan davranış değildir

Bu sürümdeki yeni nedir:.

• Fix javascript yerine önerilmemektedir navigator.id.getVerifiedEmail olan) navigator.id.get (kullanmak için.

sürüm 0.4.0 yeni nedir:.

• PyVEP gelen PyBrowserID geçirme

sürüm 0.3.0 yeni nedir:

• PyVEP & gt API tahammül için Güncelleştirme = 0.3. 0.

sürüm 0.2.1 yeni nedir:

• PyVEP & gt API tahammül için Güncelleştirme = 0.2. 0.

nedir sürüm 0.2.0 Yeni:

• STANDART tek başına kütüphaneye Refactor doğrulama kodu adında & quot;. PyVEP & şimdi bir bağımlılık olduğunu quot ;,

Gereksinimler :

• Python