repoze.who.plugins.browserid

repoze.who.plugins.browserid是repoze.who插件通过Mozilla的BROWSERID项目认证：
＆NBSP; HTTPS：//browserid.org/
目前，它由他们张贴到browserid.org验证服务支持验证BROWSERID断言。作为协议变得更加稳定，将增长到本地验证断言的能力。
插件的配置可以从像这样的标准repoze.who配置文件来完成：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
观众= www.mysite.com
rememberer_name = authtkt
[插件：authtkt]
使用= repoze.who.plugins.auth_tkt：make_plugin
秘密=我的特别秘密
[标识符]
插件= authtkt BROWSERID
[鉴定人]
插件= authtkt BROWSERID
[挑战者]
插件= BROWSERID
请注意，我们已经配对BROWSERID插件与标准AuthTkt插件，以便它可以记住跨请求用户的登录。
定制
下面的设置可以在配置文件中指定自定义插件的行为：
＆NBSP;观众：
＆NBSP;接受主机名或水珠图案的BROWSERID断言观众的空格分隔列表。任何断言其观众不匹配列表中的项目将被拒绝。
＆NBSP;你必须为此设置指定的值，因为它是不可或缺的BROWSERID的安全性。请参阅下面的安全注意事项部分获取更多细节。
＆NBSP; rememberer_name：
＆NBSP;另一个repoze.who插件，它应该被称为记得/忘记了身份验证的名称。这通常是一个带符号的cookie的实现，诸如内置auth_tkt插件。如果unspecificed或无再认证将不会被记住。
＆NBSP; postback_url：
＆NBSP;应发送的验证URL到BROWSERID凭据。默认值是希望无冲突：/repoze.who.plugins.browserid.postback。
＆NBSP; assertion_field：
＆NBSP;
＆NBSP;在其中找到BROWSERID断言POST表单字段的名称。默认值是“断言”。
＆NBSP; came_from_field：
＆NBSP;该用户将被处理他们登录后重定向在其中找到引用页的POST表单域，名称。默认值是“came_from”。
＆NBSP; csrf_field：
＆NBSP;在其中找到了CSRF保护令牌的POST表单字段的名称。默认值是“csrf_token”。如果设置为空字符串，然后CSRF检查被禁用。
＆NBSP; csrf_cookie_name：
＆NBSP;
＆NBSP;在其中设置cookie的名字，并找到CSRF保护令牌。默认的Cookie名称为“browserid_csrf_token”。如果设置为空字符串，然后CSRF检查被禁用。
＆NBSP; challenge_body：
＆NBSP;在此位置找到的HTML登录页面，无论是作为点缀蟒蛇引用或者一个文件名。所包含的HTML可以使用Python字符串插语法，包括挑战，如细节使用％（csrf_token）S到包括CSRF令牌。
＆NBSP; verifier_url：
＆NBSP;在BROWSERID验证服务的URL，所有断言将张贴检查到。缺省值是标准browserid.org验证，并应适用于所有的用途。
＆NBSP;的urlopen：
＆NBSP;一个可调用的执行相同的API了urllib.urlopen，这将被用于访问BROWSERID验证服务虚线蟒名称。默认值为utils的：secure_urlopen这确实严格的HTTPS证书默认检查。
＆NBSP; check_https：
＆NBSP;布尔指示是否超过enencrypted连接拒绝登录尝试。默认值为False。
＆NBSP; check_referer：
＆NBSP;布尔值，指示是否拒绝登录尝试，其中引用者头不符合预期的观众。默认值是执行该检查只安全连接。
安全注意事项
CSRF保护
这个插件试图所描述的巴特等人提供一些基本的防范登录-CSRF攻击。人。在“稳健防御为跨站请求伪造”：
＆NBSP; HTTP：//seclab.stanford.edu/websec/csrf/csrf.pdf
另外，在上述纸张的术语，它结合了一个会话无关的随机数与严格的referer检查安全连接。可以通过调整“csrf_cookie_name”，“check_referer”和“check_https”设定调整的保护。
观众检查
BROWSERID使用的“观众”，以防止被盗登录的概念。观众领带BROWSERID断言到一个特定的主机，从而使攻击者无法收集在一个网站上断言，然后用它们来登录到另一个。
这个插件进行严格的观众在默认情况下选中。您必须提供可接受的观众字符串列表创建插件的时候，他们应该是特定于应用程序。例如，如果您的应用程序提供三种不同的主机名请求http://mysite.com，http://www.mysite.com和http://uploads.mysite.com，你可能会提供：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
观众= mysite.com * .mysite.com
如果您的应用程序进行严格的检查，对HTTP主机头，那么你可以指示插件留下的空白列表使用为观众主机头：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
观众=
这是不是默认的行为，因为它可能是不安全的在某些系统上

什么在此版本中是新的：

• 在修复JavaScript来使用，而不是过时的navigator.id.getVerifiedEmail navigator.id.get（）。

什么在0.4.0版本新：

• 在迁移从PyVEP到PyBrowserID

什么版本0.3.0是新的：

• 在更新的API兼容性与PyVEP＆GT; = 0.3。 0。

什么版本0.2.1的新：

• 在更新的API兼容性与PyVEP＆GT; = 0.2。 0。

什么是0.2.0版本，新的：

• 在重构验证码成standand单独命名的图书馆＆QUOT; PyVEP＆QUOT;，现在是一个依赖

要求：

• 在Python中