repoze.who.plugins.digestauth ist repoze.who Plugin Umsetzung HTTP Digest Access Authentication gemäß RFC-2617:
& Nbsp; http: //tools.ietf.org/html/rfc2617
Es bietet gute Unterstützung für das Protokoll, wie es ist in der Regel in der Wildnis verwendet:
- Sowohl qop = "auth" und qop = "auth-int" Modi
- Kompatibilitätsmodus für ältere Clients
- Client Nonce-count Kontrolle
- Next-Generation Nonce über den Authentication Header-Info
Die folgenden Merkmale des Protokolls werden nur selten von HTTP-Clients unterstützt werden und somit noch nicht umgesetzt worden:
- MD5-sess oder eine Hash-Algorithmus MD5 außer
- Die gegenseitige Authentifizierung über den Authentication Header-Info
Konfiguration
Konfiguration des Digest-auth Plugin kann von der Standard repoze.who Konfigurationsdatei wie so durchgeführt werden:
[Plugin: digestauth]
Verwendung = repoze.who.plugins.digestauth: make_plugin
realm = mein
get_pwdhash = mymodule: get_pwdhash
Die folgenden Konfigurationsoptionen stehen zur Verfügung:
- Reich: das Reich string; enthalten wörtlich in der Herausforderung Kopf
- Domain die Domain string; enthalten wörtlich in der Herausforderung Kopf
- Qop: die gewünschte Qualität des Schutzes ("auth" oder "auth-int")
- Get_password: dotted Name einer Callback um das Kennwort des Benutzers zu erhalten
- Get_pwdhash: dotted Name einer Callback Passwort-Hash des Benutzers erhalten
- Nonce_manager: punktiert Namen einer Klasse für Nonce Verwaltung verwenden
Authentication
Um einen Benutzer über Digest Auth zu authentifizieren, muss dieses Plugin Zugriff auf entweder ihrer rohen Passwort oder ihre "Passwort-Hash", das die MD5 der Benutzername, Passwort und Authentifizierungsbereich wird:
def calculate_pwdhash (Benutzername, Kennwort, Realm):
. & Nbsp; zurück md5 ("% s:% s:% s"% (Benutzername, Bereich Passwort)) hexdigest ()
Sie müssen die Callback-Funktion "get_password" oder "get_pwdhash" auf die DigestAuthPlugin bieten.
Nonce Verwaltung
Die Sicherheit der Digest Access Authentication hängt entscheidend von der sicheren Erzeugung und managent kryptographischer Nonces. In angreift, um Wiedergabe zu verhindern muss der Server-Anfragen, die eine wiederholte Nonce haben abzulehnen.
Die Details der Nonce-Management sind in eine separate Schnittstelle extrahiert wurden, durch die repoze.who.plugins.digestauth.noncemanager definiert: NonceManager Klasse. Die Standardimplementierung verwendet HMAC-signierte Token und eine In-Memory-Cache vor kurzem gesehen Nonce zählt. Wenn Sie mehr besonderen Bedürfnisse Dich eigene NonceManager Klasse implementieren
Was ist neu in dieser Pressemitteilung:.
- Update-Lizenz MPL 2.0.
Anforderungen :
- Python
Kommentare nicht gefunden