repoze.who.plugins.browserid yra repoze.who plugin autentiškumo per Mozilla BrowserID projektą:
& Nbsp; https: //browserid.org/
Ji šiuo metu palaiko patikrinimą BrowserID tvirtinimų parašėte juos browserid.org tikrintojo paslaugos. Kaip protokolas tampa stabilus jis išaugs galimybę patikrinti teiginius vietoje.
Konfigūracija įskiepiai gali būti padaryta nuo standartinio repoze.who konfigūracijos failo, pavyzdžiui, taip:
[Įskiepiai: browserid]
naudojimas = repoze.who.plugins.browserid: make_plugin
auditorijos = www.mysite.com
rememberer_name = authtkt
[Įskiepiai: authtkt]
naudojimas = repoze.who.plugins.auth_tkt: make_plugin
Paslaptis = Mano Specialusis paslaptis
[identifikatoriai]
įskiepių = authtkt browserid
[autentikacija]
įskiepių = authtkt browserid
[iššūkių]
įskiepių = browserid
Atkreipkite dėmesį, kad mes suporuotas BrowserID įskiepiai su standartiniu AuthTkt įskiepiai taip, kad jis gali prisiminti vartotojo prisijungimo visoje prašymus.
Pritaikyti
Šie nustatymai gali būti nurodyta konfigūracijos failo pritaikyti įskiepiai elgesį:
& nbsp; auditorijas:
& Nbsp; erdvės atskirtos sąrašas priimtinų vardus ar glob modelių, skirtų BrowserID tvirtinimų auditorijai. Bet teiginys, kurio auditorija nesutampa sąraše punktas bus atmestas.
& Nbsp; Jūs turite nurodyti vertę šiam nustatymui, nes tai yra neatsiejama BrowserID saugumą. Žr Apsaugos pastabos skyrių žemiau daugiau informacijos.
& Nbsp; rememberer_name:
& Nbsp; kitos repoze.who įskiepiai, kuri turėtų būti vadinamas prisiminti / pamiršti autentifikavimo vardas. Tai paprastai būna prisijungę slapukas įgyvendinimas, pavyzdžiui, built-in auth_tkt įskiepiai. Jei unspecificed arba Nė tada autentiškumo nebus prisiminti.
& Nbsp; postback_url:
& Nbsp; adresas, kurį BrowserID įgaliojimai turėtų būti siunčiami patvirtinimo. Numatytoji reikšmė yra tikiuosi prieštarauti nemokamai: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; nesėkmingai formos lauko pavadinimas, kuriame rasti BrowserID teiginį. Numatytoji reikšmė yra "teiginys".
& Nbsp; came_from_field:
& Nbsp; į kurią vartotojas bus nukreiptas po apdorojimo savo prisijungimo nesėkmingai formos lauką, kuris rasti nuoroda puslapį, vardas ir pavardė. Numatytoji reikšmė yra "came_from".
& Nbsp; csrf_field:
& Nbsp; nesėkmingai formos lauko pavadinimas, kuriame rasti CSRF apsaugos raktą. Numatytoji reikšmė yra "csrf_token". Jei nustatytas į tuščią eilutę, tada CSRF tikrinimas išjungtas.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; slapuko vardas kurioje nustatyti ir rasti CSRF apsaugos raktą. Numatytasis slapukas pavadinimas "browserid_csrf_token". Jei nustatytas į tuščią eilutę, tada CSRF tikrinimas išjungtas.
& Nbsp; challenge_body:
& Nbsp; už kurią vietą rasti už prisijungimo puslapyje HTML, arba kaip punktyrinės python nuoroda ar failo pavadinimą. Santūri HTML gali naudoti python styginių interpoliacijos sintaksę įtraukti informaciją apie iššūkis, pavyzdžiui naudoti% (csrf_token) s įtraukti CSRF raktą.
& Nbsp; verifier_url:
& Nbsp; iš BrowserID tikrintojo paslaugų, adresas, kurį visi teiginiai bus paskelbta patikrinti. Numatytoji reikšmė yra standartinis browserid.org tikrintojas ir turėtų būti tinkama visiems tikslams.
& Nbsp; urlopen:
& Nbsp; punktyras python pavadinimas pareikalavimo įgyvendinant tą patį API kaip urllib.urlopen, kuris bus naudojamas prieigai prie BrowserID tikrintojo paslaugos. Numatytoji reikšmė utils: secure_urlopen kurie daro griežtą HTTPS pažymėjimą tikrinimas pagal nutylėjimą.
& nbsp; check_https:
& Nbsp; Būlio, nurodant, ar atmesti prisijungimo bandymus per enencrypted jungtis. Numatytoji reikšmė yra klaidingas.
& Nbsp; check_referer:
& Nbsp; Būlio, nurodant, ar atmesti prisijungimo bandymus, kur nurodančią antraštė neatitinka laukiamą auditoriją. Numatytoji reikšmė yra atlikti šį patikrinimą tik saugius ryšius.
Saugumas Pastabos
CSRF apsauga
Šis kištukas bando pateikti tam tikrą pagrindinę apsaugą nuo prisijungimo-CSRF išpuolių, kaip aprašyta Barth et. al. į "Tvirta gynybos Cross-Site Užsisakyti klastojimo":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Atsižvelgiant į pirmiau popieriaus terminologija, jis jungia sesijos nepriklausomas tam kartui su griežta nurodančią patikrinti saugaus ryšio. Galite įgnybti apsaugos reguliuojant "csrf_cookie_name", "check_referer" ir "check_https" nustatymus.
Auditorija tikrinimas
BrowserID naudoja kaip "auditoriją" apsaugoti nuo pavogtų prisijungimo sąvoką. Publika pririša BrowserID teiginį, kad konkretaus kompiuterio, kad užpuolikas negali rinkti tvirtinimus viename puslapyje ir tada naudoti juos prisijungti prie kito.
Šis kištukas atlieka griežtą auditoriją tikrinimo pagal nutylėjimą. Jūs turite pateikti priimtiną auditorijos eilutę sąrašą kurdami įskiepiai, ir jie turėtų būti konkrečiai jūsų paraišką. Pavyzdžiui, jei jūsų prašymas tarnauja prašymus dėl trijų skirtingų as http://mysite.com, http://www.mysite.com ir http://uploads.mysite.com, jums gali suteikti:
[Įskiepiai: browserid]
naudojimas = repoze.who.plugins.browserid: make_plugin
auditorijos = mysite.com * .mysite.com
Jeigu jūsų paraiška nėra griežtai tikrinti HTTP antraštės kompiuterio, galite nurodyti įskiepiai naudoti Host antraštę kaip auditorijos paliekant sąrašas tuščias:
[Įskiepiai: browserid]
naudojimas = repoze.who.plugins.browserid: make_plugin
auditorijos =
Tai ne nutylėjimą, nes ji gali būti nesaugus kai kuriose sistemose
Kas naujo , šioje laidoje:.
- Nustatyti JavaScript naudoti navigator.id.get () vietoj pasenusios navigator.id.getVerifiedEmail.
Kas naujo versijos 0.4.0:.
- Migracija iš PyVEP į PyBrowserID
Kas naujo 0.3.0 versija:
- Atnaujinti API atitikimą PyVEP & gt; = 0,3. 0.
Kas naujo 0.2.1 versija:
- Atnaujinti API atitikimą PyVEP & gt; = 0,2. 0.
Kas naujo versijos 0.2.0:
- refactor Patikrinimo kodas į standand-vien bibliotekoje pavadintas & quot;. & quot ;, PyVEP kuris dabar yra priklausomybė
Reikalavimai :
- Python
Komentarai nerastas