repoze.who.plugins.browserid is 'n repoze.who plugin vir verifikasie via Mozilla se BrowserID projek:
& Nbsp; https: //browserid.org/
Dit ondersteun tans verifikasie van BrowserID bewerings deur die plekke van hulle aan die browserid.org verifieerder dienste. As die protokol word meer stabiel sal dit die vermoë om stellings te verifieer plaaslik groei.
Opset van die plugin kan gedoen word van die standaard repoze.who config lêer soos so:
[Plugin: browserid]
gebruik = repoze.who.plugins.browserid: make_plugin
gehore = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
gebruik = repoze.who.plugins.auth_tkt: make_plugin
geheime = My Spesiale Secret
[ID]
plugins = authtkt browserid
[Authenticators]
plugins = authtkt browserid
[Uitdagers]
plugins = browserid
Let daarop dat ons saam die BrowserID plugin met die standaard AuthTkt plugin sodat dit kan aanteken om die gebruiker se oor versoeke onthou.
Aanpassing
Die volgende instellings kan in die opstelling lêer gespesifiseer word om die gedrag van die prop aan te pas:
& Nbsp; teikengroepe:
& Nbsp; 'n spasie-geskeide lys van aanvaarbare gasheername of glob patrone vir die BrowserID bewering gehoor. Enige bewering wie gehoor nie ooreenstem 'n item in die lys sal verwerp word.
& Nbsp; Jy moet 'n waarde vir hierdie instelling spesifiseer, aangesien dit 'n integrale deel van die veiligheid van BrowserID. Sien die Veiligheidsraad Notes artikel hieronder vir meer besonderhede.
& Nbsp; rememberer_name:
& Nbsp; Die naam van 'n ander repoze.who plugin wat genoem moet word om te onthou / vergeet van die verifikasie. Dit sou tipies 'n getekende-koekie implementering soos die ingeboude auth_tkt plugin. As unspecificed of Geen dan verifikasie sal nie gedink word nie.
& Nbsp; postback_url:
& Nbsp; Die URL wat BrowserID geloofsbriewe moet gestuur word vir bekragtiging. Die standaard waarde is hopelik bots gratis: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Die naam van die pos vorm veld waarin die BrowserID bewering te vind. Die standaard waarde is "bewering".
& Nbsp; came_from_field:
& Nbsp; Die naam van die pos vorm veld waarin die verwysing bladsy te vind, wat die gebruiker sal herlei word na die verwerking van hul inskrywing. Die standaard waarde is "came_from".
& Nbsp; csrf_field:
& Nbsp; Die naam van die pos vorm veld waarin die CSRF beskerming teken te vind. Die standaard waarde is "csrf_token". As stel na die leë string dan CSRF nagaan is afgeskakel.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Die naam van die koekie in te stel en uit te vind die CSRF beskerming teken. Die standaard koekie naam "browserid_csrf_token". As stel na die leë string dan CSRF nagaan is afgeskakel.
& Nbsp; challenge_body:
& Nbsp; Die plek waar die HTML vir die aanteken bladsy te vind, óf as 'n stippellyn luislang verwysing of 'n lêernaam. Die geslote HTML kan luislang string interpolasie sintaksis gebruik besonderhede van die uitdaging, bv in te sluit gebruik% (csrf_token) is die CSRF teken in te sluit.
& Nbsp; verifier_url:
& Nbsp; Die URL van die BrowserID verifieerder diens, waaraan alle bewerings sal gepos word vir kontrolering. Die standaard waarde is die standaard browserid.org verifieerder en moet geskik wees vir alle doeleindes.
& Nbsp; urlopen:
& Nbsp; Die stippellyn luislang naam van 'n call able implementering dieselfde API as urllib.urlopen, wat gebruik sal word om die BrowserID verifieerder om toegang te verkry. Die standaard waarde utils: secure_urlopen wat nie streng HTTPS sertifikaat nagaan by verstek.
& Nbsp; check_https:
& Nbsp; Boole wat aandui of login pogings te verwerp oor enencrypted verbindings. Die standaard waarde is Vals.
& Nbsp; check_referer:
& Nbsp; Boole wat aandui of login pogings waar die Referer kop nie ooreenstem met die verwagte gehoor te verwerp. Die standaard is hierdie tjek vir net veilige verbindings te voer.
Security Notes
CSRF beskerming
Hierdie inprop probeer 'n paar basiese beskerming te bied teen login-CSRF aanvalle soos beskryf deur Barth et. al. in "Robuuste verdedig vir cross-site Versoek Vervalsing":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
In die terminologie van die bogenoemde papier, dit kombineer 'n sessie-onafhanklike nonce met streng Referer kontrole vir veilige verbindings. Jy kan die beskerming aanpas deur die aanpassing van die "csrf_cookie_name", "check_referer" en "check_https" instellings.
Gehoor Kontrolering
BrowserID gebruik die idee van 'n "gehoor" te beskerm teen gesteel logins. Die gehoor bande 'n BrowserID bewering aan 'n spesifieke gasheer, sodat 'n aanvaller nie bewerings kan versamel op 'n site en dan gebruik hulle om aan te meld by 'n ander.
Hierdie inprop voer streng gehoor nagaan by verstek. Jy moet 'n lys van aanvaarbare gehoor string voorsien wanneer die skep van die plugin, en hulle moet spesifiek met u aansoek wees. Byvoorbeeld, as jou aansoek dien versoeke op drie verskillende gasheername http://mysite.com, http://www.mysite.com en http://uploads.mysite.com, kan jy bied:
[Plugin: browserid]
gebruik = repoze.who.plugins.browserid: make_plugin
gehore = mysite.com * .mysite.com
Indien u aansoek doen streng kontrole van die HTTP Host kop, dan kan jy die plugin opdrag van die Host kop as die gehoor te gebruik deur die verlaat van die lys leeg:
[Plugin: browserid]
gebruik = repoze.who.plugins.browserid: make_plugin
gehore =
Dit is nie die standaard gedrag, aangesien dit onseker oor sommige stelsels kan wees
Wat is nuut in hierdie release:.
- Fix javascript navigator.id.get (gebruik) in plaas van die deprecated navigator.id.getVerifiedEmail.
Wat is nuut in die weergawe 0.4.0:.
- migreer van PyVEP te PyBrowserID
Wat is nuut in die weergawe 0.3.0:
- Werk vir API versoenbaarheid met PyVEP & gt; = 0.3. 0.
Wat is nuut in die weergawe 0.2.1:
- Werk vir API versoenbaarheid met PyVEP & gt; = 0.2. 0.
Wat is nuut in die weergawe 0.2.0:
- Refactor verifikasie kode in 'n standand-alleen biblioteek vernoem & quot;. PyVEP & quot ;, wat is nou 'n afhanklikheid
Vereistes :
- Python
Kommentaar nie gevind