repoze.who.plugins.browserid

repoze.who.plugins.browserid egy repoze.who plugin hitelesítés a Mozilla BrowserID projekt:
& Nbsp; https: //browserid.org/
Ez jelenleg ellenőrzését BrowserID kijelentéseket szeretne feltenni a browserid.org hitelesítő szolgáltatásokat. Mivel a protokoll stabilabb lesz, nőni fog a képesség, hogy ellenőrizze az állításokat helyben.
Configuration a plugin lehet tenni a szabványos repoze.who config file így néz ki:
[Plugin: browserid]
használat = repoze.who.plugins.browserid: make_plugin
közönséget = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
használat = repoze.who.plugins.auth_tkt: make_plugin
titkos = My Special Secret
[Azonosítók]
plugins = authtkt browserid
[Authenticators]
plugins = authtkt browserid
[Provokátorok]
plugins = browserid
Figyeljük meg, hogy párosította-e a BrowserID plugin a standard AuthTkt plugint úgy, hogy emlékezzen a felhasználó bejelentkezési kérelmek között.
testreszabási
A következő beállításokat adhatja meg a konfigurációs fájlban szabni a viselkedését a plugin:
& Nbsp; a közönség:
& Nbsp; szóközökkel elválasztott listája elfogadható hosztnevekre vagy glob minták a BrowserID állítását közönséget. Bármely állítás, akinek a közönség nem egyezik egy elemet a listában elutasításra kerül.
& Nbsp; meg kell adni egy értéket a beállítás, mivel szerves része a biztonsági BrowserID. Lásd a Biztonsági Megjegyzések részt alább a részleteket.
& Nbsp; rememberer_name:
& Nbsp; A név másik repoze.who plugin, amely kell hívni, hogy emlékszem / felejtsük el a hitelesítést. Ez rendszerint egy olyan aláírt-cookie-végrehajtás, mint például a beépített auth_tkt bővítmény. Ha unspecificed vagy sem, akkor a hitelesítés nem emlékezett.
& Nbsp; postback_url:
& Nbsp; Az URL, amelyre BrowserID hitelesítő kell elküldeni jóváhagyásra. Az alapértelmezett érték remélhetőleg konfliktusmentes: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; A név a POST formában területen, ahol megtalálni a BrowserID állítását. Az alapértelmezett érték a "állítást".
& Nbsp; came_from_field:
& Nbsp; A név a POST formában területen, ahol találni a hivatkozó oldal, amelyhez a felhasználót átirányítja feldolgozása után a bejelentkezési. Az alapértelmezett érték a "came_from".
& Nbsp; csrf_field:
& Nbsp; A név a POST formában területen, ahol megtalálni a CSRF védelmet token. Az alapértelmezett érték a "csrf_token". Ha az értéke üres karakterlánc, akkor CSRF ellenőrzése kikapcsolva.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; A név a cookie-amelyben beállítani, és megtalálja a CSRF védelmet token. Az alapértelmezett cookie neve van "browserid_csrf_token". Ha az értéke üres karakterlánc, akkor CSRF ellenőrzése kikapcsolva.
& Nbsp; challenge_body:
& Nbsp; A hely, ahol megtalálni a HTML számára a belépés oldalra, vagy pontozott python referencia vagy a fájlnév. A zárt HTML használhatja python karakterlánc interpoláció szintaxis részleteket tartalmaz a kihívást, pl használhatja% (csrf_token) s hogy tartalmazza a CSRF token.
& Nbsp; verifier_url:
& Nbsp; Az URL a BrowserID hitelesítő szolgáltatás, amelyhez minden állításnál felteszik ellenőrzésére. Az alapértelmezett érték a standard browserid.org hitelesítő és alkalmasnak kell lennie minden célra.
& Nbsp; urlopen:
& Nbsp; A pontozott python nevét egy visszahívható végrehajtási azonos API, mint urllib.urlopen, amelyet eléréséhez használt BrowserID hitelesítő szolgáltatás. Az alapértelmezett érték utils: secure_urlopen amely nem a szigorú HTTPS igazolás ellenőrzése alapértelmezés szerint.
& Nbsp; check_https:
& Nbsp; logikai jelezve, hogy visszautasítsa bejelentkezési kísérletek alatt enencrypted kapcsolatokat. Az alapértelmezett érték false.
& Nbsp; check_referer:
& Nbsp; logikai jelezve, hogy visszautasítsa bejelentkezési kísérletek, amikor a hivatkozó header nem egyezik a várt közönséget. Az alapértelmezés szerint az ellenőrzés lefutása biztos csatlakozást csak.
Biztonsági Notes
CSRF védelem
Ez a plugin megpróbál bizonyos alapvető védelmet login-CSRF támadások által leírt Barth et. al. "robusztus védések Cross-Site Request Hamis":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
A terminológia a fenti papírt, hogy egyesíti a munkamenet-független nonce szigorú hivatkozóként ellenőrzése biztos csatlakozást. Rá lehet hangolni a védelmi módosításával a "csrf_cookie_name", "check_referer" és a "check_https" beállításokat.
Közönség ellenőrzése
BrowserID fogalmat használja a "közönség" elleni ellopott bejelentkezéseket. A közönség köt BrowserID állítását, hogy egy adott gépnek, hogy a támadó nem tudja gyűjteni az állításokat egy oldalon, és majd őket, hogy jelentkezzen be a másikba.
Ez a plugin végzi szigorú közönség ellenőrzés alapértelmezés szerint. Meg kell adnia a felsorolt ​​megengedett közönség húr, ha megteremti a plugint, és legyen adott az alkalmazás. Például, ha az alkalmazás szolgálja ki a kéréseket három különböző hostnevek http://mysite.com, http://www.mysite.com és http://uploads.mysite.com, lehet nyújtani:
[Plugin: browserid]
használat = repoze.who.plugins.browserid: make_plugin
közönséget = mysite.com * .mysite.com
Ha az alkalmazás nem szigorú ellenőrzésnek a HTTP fejléc Host, akkor utasíthatja a plugin használni a Host header, mint a közönség hagyva a lista üres:
[Plugin: browserid]
használat = repoze.who.plugins.browserid: make_plugin
közönséget =
Ez nem az alapértelmezett viselkedés, mert lehet, hogy nem biztonságos néhány rendszeren.

Mi az új ebben a kiadásban:

• Fix JavaScript használatát navigator.id.get () helyett az elavult navigator.id.getVerifiedEmail.

Mi az új verzióban 0.4.0:

• vándorolnak PyVEP a PyBrowserID.

Mi az új verzióban 0.3.0:

• Frissítés API kompatibilitást PyVEP & gt; = 0,3. 0.

Mi az új verzióban 0.2.1:

• Frissítés API kompatibilitást PyVEP & gt; = 0,2. 0.

Mi az új verzióban 0.2.0:

• Refactor ellenőrző kódot egy standand-alone könyvtár elemzi & quot; PyVEP & quot ;, amely ma már a függőség.

követelmények :

• Python