repoze.who.plugins.browserid ist ein repoze.who Plugin für Authentifizierung über BrowserID Projekt Mozilla:
& Nbsp; https: //browserid.org/
Es unterstützt derzeit die Überprüfung der BrowserID Behauptungen durch Aushang an den browserid.org Gutachter Dienstleistungen. Da das Protokoll wird stabiler wird die Fähigkeit, lokal Behauptungen überprüfen zu wachsen.
Konfiguration des Plugins können von der Standard repoze.who Konfigurationsdatei wie so durchgeführt werden:
[Plugin: BrowserID]
Verwendung = repoze.who.plugins.browserid: make_plugin
Publikum = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
Verwendung = repoze.who.plugins.auth_tkt: make_plugin
secret = My Special Geheimnis
[Bezeichner]
plugins = authtkt BrowserID
[Authentifizierungs]
plugins = authtkt BrowserID
[Herausforderer]
plugins = BrowserID
Beachten Sie, dass wir die BrowserID Plugin mit dem Standard AuthTkt Plugin gepaart, so dass es für die Benutzeranmeldung auf Anfragen zu erinnern.
Anpassung
Die folgenden Einstellungen können in der Konfigurationsdatei angegeben, um das Verhalten des Plugins anpassen werden:
& Nbsp; Zielgruppen:
& Nbsp; Eine durch Leerzeichen getrennte Liste von akzeptablen Hostnamen oder Glob-Muster für den BrowserID Behauptung Publikum. Jede Behauptung, deren Zielgruppe entspricht nicht ein Element in der Liste, werden abgelehnt.
& Nbsp; Sie müssen einen Wert für diese Einstellung festlegen, da sie integraler Bestandteil der Sicherheit der BrowserID ist. Siehe die Hinweise zur Sicherheit Abschnitt unten für weitere Details.
& Nbsp; rememberer_name:
& Nbsp; Der Name des anderen repoze.who Plugin, das aufgerufen werden soll daran zu erinnern, / vergessen, die Authentifizierung. Dies würde in der Regel eine unterschriebene-Cookie-Implementierung wie der eingebaute auth_tkt Plugin. Wenn unspecificed oder keine Authentifizierung dann nicht in Erinnerung bleiben.
& Nbsp; postback_url:
& Nbsp; Die URL für die Anmeldeinformationen BrowserID sollte für die Validierung gesendet. Der Standardwert wird hoffentlich in Konflikt frei: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Der Name des POST Formularfeld, in dem die BrowserID Behauptung zu finden. Der Standardwert ist "Behauptung".
& Nbsp; came_from_field:
& Nbsp; Der Name des POST Formularfeld, in dem der verweisenden Seite zu finden, die der Benutzer nach der Bearbeitung ihrer Anmeldung umgeleitet werden. Der Standardwert ist "came_from".
& Nbsp; csrf_field:
& Nbsp; Der Name des POST Formularfeld, in dem die CSRF-Schutz Token zu finden. Der Standardwert ist "csrf_token". Wenn auf einen leeren String gesetzt dann CSRF Prüfung ist deaktiviert.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Der Name des Cookies, in dem festgelegt und finden Sie die CSRF-Schutz-Token. Die Standard-Cookie-Namen wird "browserid_csrf_token". Wenn auf einen leeren String gesetzt dann CSRF Prüfung ist deaktiviert.
& Nbsp; challenge_body:
& Nbsp; Der Ort, an dem das HTML für die Login-Seite zu finden, entweder als gepunktete Python Referenz oder einem Dateinamen. Die enthaltenen HTML können Python-String-Interpolation Syntax verwenden, um Details der Herausforderung, zum Beispiel umfassen benutzen% (csrf_token) s, die CSRF-Token enthalten.
& Nbsp; verifier_url:
& Nbsp; Die URL der BrowserID Gutachter Service, zu dem alle Behauptungen werden für die Überprüfung veröffentlicht. Der Standardwert ist der Standard browserid.org Gutachter und sollte für alle Zwecke geeignet sein.
& Nbsp; urlopen:
& Nbsp; Die gestrichelte python Name einer Callable Umsetzung der gleiche API wie urllib.urlopen, die verwendet werden, um die BrowserID Gutachter Dienst zugegriffen wird. Die Standardwert utils: secure_urlopen die strengen HTTPS-Zertifikat überprüft standardmäßig der Fall ist.
& Nbsp; check_https:
& Nbsp; Boolean Wert haben, um Anmeldeversuche über enencrypted Verbindungen ablehnen. Der Standardwert ist False.
& Nbsp; check_referer:
& Nbsp; Boolean Wert haben, um Anmeldeversuche in dem die Referer-Header nicht das erwartete Publikum entsprechen abzulehnen. Standardmäßig wird diese Überprüfung nur sichere Verbindungen durchzuführen.
Sicherheits Hinweise
CSRF-Schutz
Dieses Plugin versucht, einige grundlegende Schutz vor login-CSRF-Angriffe wie Barth et beschrieben werden. al. in "Robust Defenses für Cross-Site Request Forgery":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
In der Terminologie der oben genannten Papier kombiniert es eine Sitzung unabhängige Nonce strengen referer Prüfung für sichere Verbindungen. Sie können die Sicherheitsleistung durch Anpassung der "csrf_cookie_name", "check_referer" und Einstellungen "check_https" zwicken.
Audience Checking
BrowserID verwendet den Begriff eines "Publikum", um gegen gestohlene Logins zu schützen. Das Publikum bindet einen BrowserID Behauptung zu einem bestimmten Host, so dass ein Angreifer nicht Behauptungen sammeln auf einer Website und dann nutzen sie, um zu einem anderen anzumelden.
Dieses Plugin führt strenge Publikum Prüfung standardmäßig. Sie müssen eine Liste der zulässigen Publikum String liefern bei der Erstellung des Plugin, und sie speziell für Ihre Anwendung sein sollte. Zum Beispiel, wenn Ihre Anwendung dient Anfragen auf drei verschiedenen Hostnamen http://mysite.com, http://www.mysite.com und http://uploads.mysite.com, könnten Sie zur Verfügung stellen:
[Plugin: BrowserID]
Verwendung = repoze.who.plugins.browserid: make_plugin
Publikum = mysite.com * .mysite.com
Wenn Ihre Anwendung tut strenge Prüfung des HTTP-Host-Header, dann können Sie das Plugin anweisen, den Host-Header, wie das Publikum, indem Sie die Liste leer verwenden:
[Plugin: BrowserID]
Verwendung = repoze.who.plugins.browserid: make_plugin
Publikum =
Dies ist nicht das Standardverhalten, da es möglicherweise unsicher auf einigen Systemen ist
Was ist neu in dieser Pressemitteilung:.
- Fix Javascript, um navigator.id.get (anstelle des veralteten navigator.id.getVerifiedEmail verwenden).
Was ist neu in Version 0.4.0:.
- Migration von PyVEP zu PyBrowserID
Was ist neu in Version 0.3.0:
- Update für API-Kompatibilität mit PyVEP & gt; = 0,3. 0.
Was ist neu in Version 0.2.1:
- Update für API-Kompatibilität mit PyVEP & gt; = 0,2. 0.
Was ist neu in Version 0.2.0:
- Umgestalten des Verifizierungscodes in einem standand eigenständige Bibliothek mit dem Namen & quot;. & quot ;, PyVEP die jetzt eine Abhängigkeit
Anforderungen :
- Python
Kommentare nicht gefunden