repoze.who.plugins.browserid

در repoze.who.plugins.browserid پلاگین repoze.who برای احراز هویت از طریق پروژه BrowserID موزیلا است:
& nbsp؛ از HTTPS: //browserid.org/
این در حال حاضر پشتیبانی تایید اظهارات BrowserID با ارسال آنها را به خدمات تصدیق browserid.org. به عنوان پروتکل پایدار تر می شود آن را به توانایی به منظور بررسی اظهارات به صورت محلی رشد می کنند.
تنظیمات این افزونه می توان از فایل پیکربندی repoze.who استاندارد مانند انجام می شود:
[افزونه: browserid]
استفاده = repoze.who.plugins.browserid: make_plugin
مخاطبان = www.mysite.com
rememberer_name = authtkt
[افزونه: authtkt]
استفاده = repoze.who.plugins.auth_tkt: make_plugin
راز = راز ویژه من
[شناسه]
پلاگین = authtkt browserid
[authenticators]
پلاگین = authtkt browserid
[رقبای]
پلاگین = browserid
توجه داشته باشید که ما این افزونه BrowserID با پلاگین استاندارد AuthTkt اند زوج به طوری که می توان آن را وارد کاربر در سراسر درخواست به یاد داشته باشید.
سفارشی سازی
تنظیمات زیر را می توان در فایل پیکربندی مشخص برای سفارشی کردن رفتار افزونه:
& nbsp؛ از مخاطبان:
& nbsp؛ یک لیست فاصله از هم جدا از اسامی گره قابل قبول و یا الگوهای لکه برای مخاطبان ادعای BrowserID. هر ادعا که مخاطبان مطابقت ندارد یک آیتم در لیست رد خواهد شد.
& nbsp؛ شما باید یک مقدار برای این تنظیمات مشخص، از آن جدایی ناپذیر به امنیت BrowserID است. بخش یادداشت امنیت زیر برای جزئیات بیشتر مراجعه کنید.
& nbsp؛ در rememberer_name:
& nbsp؛ در نام پلاگین repoze.who دیگری که باید به نام به یاد داشته باشید / فراموش احراز هویت. این به طور معمول اجرای امضا-کوکی شود مانند ساخته شده است در پلاگین auth_tkt. اگر unspecificed یا هیچ سپس احراز هویت خواهد به یاد نمی شود.
& nbsp؛ در postback_url:
& nbsp؛ در URL که اعتبار BrowserID باید برای اعتبار سنجی ارسال می شود. مقدار پیش فرض است امیدوارم در تضاد رایگان: /repoze.who.plugins.browserid.postback.
& nbsp؛ در assertion_field:
و nbsp؛
& nbsp؛ در نام زمینه فرم POST که در آن برای پیدا کردن ادعای BrowserID. مقدار پیش فرض "ادعا" است.
& nbsp؛ در came_from_field:
& nbsp؛ در نام زمینه فرم POST که در آن برای پیدا کردن صفحه با اشاره، به آن کاربر خواهد شد پس از پردازش ورود خود هدایت می شوید. مقدار پیش فرض "came_from" است.
& nbsp؛ در csrf_field:
& nbsp؛ در نام زمینه فرم POST که در آن برای پیدا کردن رمز حفاظت CSRF. مقدار پیش فرض "csrf_token" است. اگر به رشته خالی تنظیم و سپس چک کردن CSRF غیر فعال است.
& nbsp؛ در csrf_cookie_name:
و nbsp؛
& nbsp؛ در نام کوکی است که در آن به راه و پیدا کردن رمز حفاظت CSRF. نام پیش فرض کوکی "browserid_csrf_token". اگر به رشته خالی تنظیم و سپس چک کردن CSRF غیر فعال است.
& nbsp؛ در challenge_body:
& nbsp؛ در محل که در آن برای پیدا کردن HTML برای صفحه ورود، یا به عنوان یک مرجع پایتون نقطه چین یا نام فایل. موجود HTML ممکن است پایتون نحو الحاق رشته شامل جزئیات از چالش، به عنوان مثال استفاده استفاده از٪ (csrf_token) به، کد CSRF.
& nbsp؛ در verifier_url:
& nbsp؛ در URL از خدمات تصدیق BrowserID، که تمام اظهارات خواهد شد برای چک کردن شده است. مقدار پیش فرض تصدیق browserid.org استاندارد است و باید مناسب برای تمام اهداف باشد.
& nbsp؛ در urlopen:
& nbsp؛ در نام پایتون نقطه چین از صدازدنی اجرای API همان urllib.urlopen، می شود که برای دسترسی به خدمات تصدیق BrowserID. به طور پیش فرض utils گروه ارزش: secure_urlopen که نشانی از گواهی HTTPS سخت چک کردن به طور پیش فرض.
& nbsp؛ در check_https:
و nbsp؛ بولی نشان می دهد که آیا برای رد تلاش ورود بیش از اتصالات enencrypted. مقدار پیش فرض غلط است.
& nbsp؛ در check_referer:
و nbsp؛ بولی نشان می دهد که آیا برای رد تلاش ورود به که در آن هدر مراجعه می کند مخاطبان انتظار مطابقت ندارد. به طور پیش فرض است برای انجام این بررسی تنها ارتباط امن.
یادداشت امنیت
حفاظت CSRF
این افزونه تلاش برای ارائه برخی از حفاظت عمومی در برابر حملات ورود-CSRF که توسط بارت و همکاران توضیح داده شده. است. در "دفاع مقاوم برای درخواست کراس سایت جعل":
& nbsp؛ از HTTP: //seclab.stanford.edu/websec/csrf/csrf.pdf
در اصطلاحات از مقاله فوق، این ترکیب فعلی مستقل از جلسه با چک کردن مراجعه سخت برای ارتباط امن. شما می توانید حفاظت با تنظیم "csrf_cookie_name"، "check_referer" و "check_https" تنظیمات نیشگون گرفتن و کشیدن.
چک کردن مخاطب
BrowserID با استفاده از مفهوم "مخاطب" برای محافظت در برابر باری سرقت رفته است. مخاطبان روابط ادعای BrowserID به یک میزبان خاص، به طوری که مهاجم می تواند اظهارات در یک سایت جمع آوری و سپس استفاده از آنها برای ورود به دیگری.
این افزونه انجام مخاطبان سخت چک کردن به طور پیش فرض. شما باید یک لیست از رشته مخاطبان قابل قبول ارائه هنگام ایجاد پلاگین، و آنها باید خاص به درخواست شما باشد. به عنوان مثال، اگر درخواست شما خدمت می کند درخواست در سه اسامی گره های مختلف http://mysite.com، http://www.mysite.com و http://uploads.mysite.com، شما ممکن است ارائه:
[افزونه: browserid]
استفاده = repoze.who.plugins.browserid: make_plugin
مخاطبان = mysite.com * .mysite.com
اگر درخواست شما انجام می دهد بررسی دقیق از هدر HTTP میزبان، سپس شما می توانید پلاگین آموزش استفاده از هدر میزبان به عنوان مخاطب با ترک لیست خالی:
[افزونه: browserid]
استفاده = repoze.who.plugins.browserid: make_plugin
مخاطبان =
این رفتار به طور پیش فرض از آن ممکن است ناامن در برخی از سیستم های نه

چه در این نسخه جدید است.

رفع جاوا اسکریپت به استفاده از navigator.id.get () به جای منسوخ navigator.id.getVerifiedEmail.

جدید در نسخه 0.4.0 است:

به مهاجرت از PyVEP به PyBrowserID.

جدید در نسخه 0.3.0 است:

به روز رسانی برای سازگاری API با PyVEP ها & gt؛ = 0.3.0.

جدید در نسخه 0.2.1 است:

به روز رسانی برای سازگاری API با PyVEP ها & gt؛ = 0.2.0.

جدید در نسخه 0.2.0 است:

در Refactor کد تایید به یک کتابخانه standand-تنهایی به نام & quot؛ را PyVEP & quot؛ باشد که در حال حاضر یک وابستگی.

مورد نیاز:

پایتون