repoze.who.plugins.browserid

repoze.who.plugins.browserid เป็นปลั๊กอิน repoze.who สำหรับการตรวจสอบผ่านทางโครงการ BrowserID ของ Mozilla:
& nbsp; https: //browserid.org/
ที่ขณะนี้สนับสนุนการตรวจสอบยืนยัน BrowserID โดยการโพสต์พวกเขาที่จะให้บริการตรวจสอบ browserid.org ในฐานะที่เป็นโปรโตคอลที่จะกลายเป็นมีเสถียรภาพมากขึ้นก็จะมีการเติบโตความสามารถในการตรวจสอบยืนยันในท้องถิ่น
การกำหนดค่าของปลั๊กอินสามารถทำได้จากไฟล์ config repoze.who มาตรฐานเช่นดังนั้น:
[ปลั๊กอิน: browserid]
ใช้ = repoze.who.plugins.browserid: make_plugin
ผู้ชม = www.mysite.com
rememberer_name = authtkt
[ปลั๊กอิน: authtkt]
ใช้ = repoze.who.plugins.auth_tkt: make_plugin
ความลับ = ลับพิเศษของฉัน
[ระบุ]
ปลั๊กอิน = authtkt browserid
[authenticators]
ปลั๊กอิน = authtkt browserid
[ท้าทาย]
ปลั๊กอิน = browserid
โปรดทราบว่าเราได้จับคู่กับปลั๊กอิน BrowserID ปลั๊กอิน AuthTkt มาตรฐานเพื่อที่จะสามารถจำการเข้าสู่ระบบของผู้ใช้ระหว่างการร้องขอ
การปรับแต่ง
การตั้งค่าต่อไปนี้สามารถที่ระบุไว้ในแฟ้มการกำหนดค่าในการปรับแต่งการทำงานของปลั๊กอิน:
& nbsp; ผู้ชม:
& nbsp; รายการพื้นที่แยกของชื่อโฮสต์ที่ยอมรับหรือรูปแบบ Glob สำหรับผู้ชมยืนยัน BrowserID การยืนยันใด ๆ ที่มีผู้ชมไม่ตรงกับรายการที่จะถูกปฏิเสธ
& nbsp; คุณต้องระบุค่าสำหรับการตั้งค่านี้เพราะมันเป็นส่วนหนึ่งในการรักษาความปลอดภัยของ BrowserID ดูส่วนหมายเหตุการรักษาความปลอดภัยด้านล่างสำหรับรายละเอียดเพิ่มเติม
& nbsp; rememberer_name:
& nbsp; ชื่อของปลั๊กอิน repoze.who อื่นซึ่งควรจะเรียกว่าจะจำ / ลืมรับรองความถูกต้อง นี้มักจะมีการดำเนินการลงนามในคุกกี้เช่นปลั๊กอิน auth_tkt ในตัว หาก unspecificed หรือไม่มีการตรวจสอบแล้วจะไม่ได้รับการจดจำ
& nbsp; postback_url:
& nbsp; URL ที่ BrowserID ข้อมูลประจำตัวที่ควรจะส่งสำหรับการตรวจสอบ ค่าเริ่มต้นเป็นที่หวังว่าจะมีความขัดแย้งฟรี: /repoze.who.plugins.browserid.postback
& nbsp; assertion_field:
& nbsp;
& nbsp; ชื่อของเขตข้อมูลฟอร์มการโพสต์ในการที่จะหายืนยัน BrowserID ค่าเริ่มต้นคือ "ยืนยัน"
& nbsp; came_from_field:
& nbsp; ชื่อของเขตข้อมูลฟอร์ม POST ในการที่จะหาหน้าหมายเพื่อที่ผู้ใช้จะถูกเปลี่ยนเส้นทางหลังจากการประมวลผลการเข้าสู่ระบบของพวกเขา ค่าเริ่มต้นคือ "came_from"
& nbsp; csrf_field:
& nbsp; ชื่อของเขตข้อมูลฟอร์มการโพสต์ในการที่จะหา token ป้องกัน CSRF ค่าเริ่มต้นคือ "csrf_token" หากการตั้งค่าสตริงที่ว่างเปล่าจากนั้นตรวจสอบ CSRF ถูกปิดใช้งาน
& nbsp; csrf_cookie_name:
& nbsp;
& nbsp; ชื่อของคุกกี้ในการที่จะกำหนดและหา token ป้องกัน CSRF ชื่อคุกกี้เริ่มต้นคือ "browserid_csrf_token" หากการตั้งค่าสตริงที่ว่างเปล่าจากนั้นตรวจสอบ CSRF ถูกปิดใช้งาน
& nbsp; challenge_body:
& nbsp; สถานที่ที่จะหา HTML สำหรับหน้าเข้าสู่ระบบไม่ว่าจะเป็นข้อมูลอ้างอิงหลามจุดหรือชื่อไฟล์ ชุด HTML อาจใช้รูปแบบการแก้ไขสตริงหลามรวมถึงรายละเอียดของความท้าทายเช่น ใช้% (csrf_token) s ที่จะรวม token CSRF
& nbsp; verifier_url:
& nbsp; URL ของบริการตรวจสอบ BrowserID ซึ่งยืนยันทั้งหมดจะถูกโพสต์ในการตรวจสอบ ค่าเริ่มต้นคือตรวจสอบ browserid.org มาตรฐานและควรมีความเหมาะสมสำหรับวัตถุประสงค์ทั้งหมด
& nbsp; urlopen:
& nbsp; ชื่อหลามประของ callable การใช้ API เดียวกับ urllib.urlopen ซึ่งจะถูกใช้ในการเข้าถึงบริการตรวจสอบ BrowserID ค่าเริ่มต้น utils: secure_urlopen ที่ไม่ผ่านการรับรองจากการตรวจสอบที่เข้มงวด HTTPS โดยค่าเริ่มต้น
& nbsp; check_https:
& nbsp; บูลีนระบุว่าจะปฏิเสธความพยายามเข้าสู่ระบบผ่านการเชื่อมต่อ enencrypted ค่าเริ่มต้นเป็นเท็จ
& nbsp; check_referer:
& nbsp; บูลีนระบุว่าจะปฏิเสธความพยายามเข้าสู่ระบบที่ส่วนหัว referer ไม่ตรงกับผู้ชมที่คาดหวัง เริ่มต้นคือการดำเนินการตรวจสอบสำหรับการเชื่อมต่อที่ปลอดภัยเท่านั้น
การรักษาความปลอดภัยหมายเหตุ
CSRF คุ้มครอง
ปลั๊กอินนี้จะพยายามที่จะให้ความคุ้มครองพื้นฐานบางอย่างจากการโจมตีเข้าสู่ระบบ CSRF ตามที่อธิบายไว้โดยรธ์และ อัล ใน "การป้องกันที่แข็งแกร่งสำหรับการจองข้ามเว็บไซต์ปลอม"
& nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
ในคำศัพท์ของกระดาษด้านบนมันรวมขณะปัจจุบันเซสชั่นอิสระกับ referer เข้มงวดตรวจสอบการเชื่อมต่อที่ปลอดภัย คุณสามารถปรับแต่งการป้องกันโดยการปรับ "csrf_cookie_name", "check_referer" และ "check_https" การตั้งค่า
การตรวจสอบผู้ชม
BrowserID ใช้ความคิดของ "ผู้ชม" เพื่อป้องกันการเข้าสู่ระบบที่ถูกขโมย ผู้ชมผูกยืนยัน BrowserID ไปยังพื้นที่ที่เฉพาะเจาะจงเพื่อให้ผู้โจมตีไม่สามารถเก็บรวบรวมยืนยันในเว็บไซต์หนึ่งแล้วใช้พวกเขาเพื่อเข้าสู่ระบบไปยังอีก
ปลั๊กอินนี้จะดำเนินการตรวจสอบอย่างเข้มงวดผู้ชมโดยค่าเริ่มต้น คุณต้องให้รายชื่อของสตริงผู้ชมยอมรับเมื่อมีการสร้างปลั๊กอินและพวกเขาควรจะเฉพาะเจาะจงไปยังโปรแกรมประยุกต์ของคุณ ตัวอย่างเช่นถ้างานของคุณทำหน้าที่การร้องขอสามชื่อโฮสต์ที่แตกต่างกัน http://mysite.com, http://www.mysite.com และ http://uploads.mysite.com คุณอาจให้:
[ปลั๊กอิน: browserid]
ใช้ = repoze.who.plugins.browserid: make_plugin
ผู้ชม = mysite.com * .mysite.com
หากใบสมัครของคุณจะตรวจสอบอย่างเข้มงวดของส่วนหัว HTTP โฮสต์แล้วคุณสามารถสั่งปลั๊กอินที่จะใช้ส่วนหัวของโฮสต์เป็นผู้ชมด้วยการออกจากรายการที่ว่างเปล่า:
[ปลั๊กอิน: browserid]
ใช้ = repoze.who.plugins.browserid: make_plugin
ผู้ชม =
นี้ไม่ได้ทำงานเริ่มต้นตั้งแต่ที่มันอาจจะไม่ปลอดภัยในบางระบบ

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.

• แก้ไข JavaScript เพื่อใช้ navigator.id.get () แทน navigator.id.getVerifiedEmail เลิก.

มีอะไรใหม่ ในรุ่น 0.4.0:.

• โยกย้ายจาก PyVEP เพื่อ PyBrowserID

มีอะไรใหม่ ในรุ่น 0.3.0:

• การปรับปรุงสำหรับเข้ากันได้กับ API PyVEP & gt; = 0.3 0.

มีอะไรใหม่ ในรุ่น 0.2.1:

• การปรับปรุงสำหรับเข้ากันได้กับ API PyVEP & gt; = 0.2 0.

มีอะไรใหม่ ในรุ่น 0.2.0:

• Refactor รหัสตรวจสอบเข้าไปในห้องสมุด standand อยู่คนเดียวชื่อ & quot;. PyVEP & quot ;, ซึ่งขณะนี้การพึ่งพา

ต้องการ

• หลาม