repoze.who.plugins.browserid

软件截图:
repoze.who.plugins.browserid
软件详细信息:
版本: 0.5.0
上传日期: 20 Feb 15
许可: 免费
人气: 18

Rating: 2.0/5 (Total Votes: 1)

repoze.who.plugins.browserid是repoze.who插件通过Mozilla的BROWSERID项目认证:
  HTTPS://browserid.org/
目前,它由他们张贴到browserid.org验证服务支持验证BROWSERID断言。作为协议变得更加稳定,将增长到本地验证断言的能力。
插件的配置可以从像这样的标准repoze.who配置文件来完成:
[插件:BROWSERID]
使用= repoze.who.plugins.browserid:make_plugin
观众= www.mysite.com
rememberer_name = authtkt
[插件:authtkt]
使用= repoze.who.plugins.auth_tkt:make_plugin
秘密=我的特别秘密
[标识符]
插件= authtkt BROWSERID
[鉴定人]
插件= authtkt BROWSERID
[挑战者]
插件= BROWSERID
请注意,我们已经配对BROWSERID插件与标准AuthTkt插件,以便它可以记住跨请求用户的登录。
定制
下面的设置可以在配置文件中指定自定义插件的行为:
 观众:
 接受主机名或水珠图案的BROWSERID断言观众的空格分隔列表。任何断言其观众不匹配列表中的项目将被拒绝。
 你必须为此设置指定的值,因为它是不可或缺的BROWSERID的安全性。请参阅下面的安全注意事项部分获取更多细节。
  rememberer_name:
 另一个repoze.who插件,它应该被称为记得/忘记了身份验证的名称。这通常是一个带符号的cookie的实现,诸如内置auth_tkt插件。如果unspecificed或无再认证将不会被记住。
  postback_url:
 应发送的验证URL到BROWSERID凭据。默认值是希望无冲突:/repoze.who.plugins.browserid.postback。
  assertion_field:
 
 在其中找到BROWSERID断言POST表单字段的名称。默认值是“断言”。
  came_from_field:
 该用户将被处理他们登录后重定向在其中找到引用页的POST表单域,名称。默认值是“came_from”。
  csrf_field:
 在其中找到了CSRF保护令牌的POST表单字段的名称。默认值是“csrf_token”。如果设置为空字符串,然后CSRF检查被禁用。
  csrf_cookie_name:
 
 在其中设置cookie的名字,并找到CSRF保护令牌。默认的Cookie名称为“browserid_csrf_token”。如果设置为空字符串,然后CSRF检查被禁用。
  challenge_body:
 在此位置找到的HTML登录页面,无论是作为点缀蟒蛇引用或者一个文件名。所包含的HTML可以使用Python字符串插语法,包括挑战,如细节使用%(csrf_token)S到包括CSRF令牌。
  verifier_url:
 在BROWSERID验证服务的URL,所有断言将张贴检查到。缺省值是标准browserid.org验证,并应适用于所有的用途。
 的urlopen:
 一个可调用的执行相同的API了urllib.urlopen,这将被用于访问BROWSERID验证服务虚线蟒名称。默认值为utils的:secure_urlopen这确实严格的HTTPS证书默认检查。
  check_https:
 布尔指示是否超过enencrypted连接拒绝登录尝试。默认值为False。
  check_referer:
 布尔值,指示是否拒绝登录尝试,其中引用者头不符合预期的观众。默认值是执行该检查只安全连接。
安全注意事项
CSRF保护
这个插件试图所描述的巴特等人提供一些基本的防范登录-CSRF攻击。人。在“稳健防御为跨站请求伪造”:
  HTTP://seclab.stanford.edu/websec/csrf/csrf.pdf
另外,在上述纸张的术语,它结合了一个会话无关的随机数与严格的referer检查安全连接。可以通过调整“csrf_cookie_name”,“check_referer”和“check_https”设定调整的保护。
观众检查
BROWSERID使用的“观众”,以防止被盗登录的概念。观众领带BROWSERID断言到一个特定的主机,从而使攻击者无法收集在一个网站上断言,然后用它们来登录到另一个。
这个插件进行严格的观众在默认情况下选中。您必须提供可接受的观众字符串列表创建插件的时候,他们应该是特定于应用程序。例如,如果您的应用程序提供三种不同的主机名请求http://mysite.com,http://www.mysite.com和http://uploads.mysite.com,你可能会提供:
[插件:BROWSERID]
使用= repoze.who.plugins.browserid:make_plugin
观众= mysite.com * .mysite.com
如果您的应用程序进行严格的检查,对HTTP主机头,那么你可以指示插件留下的空白列表使用为观众主机头:
[插件:BROWSERID]
使用= repoze.who.plugins.browserid:make_plugin
观众=
这是不是默认的行为,因为它可能是不安全的在某些系统上

什么在此版本中是新的

  • 在修复JavaScript来使用,而不是过时的navigator.id.getVerifiedEmail navigator.id.get()。

什么在0.4.0版本新

  • 在迁移从PyVEP到PyBrowserID

什么版本0.3.0是新的

  • 在更新的API兼容性与PyVEP> = 0.3。 0。

什么版本0.2.1的新

  • 在更新的API兼容性与PyVEP> = 0.2。 0。

什么是0.2.0版本,新的

  • 在重构验证码成standand单独命名的图书馆" PyVEP",现在是一个依赖

要求

  • 在Python中

显影剂的其他软件 Mozilla Services Team

pyramid_macauth
pyramid_macauth

20 Feb 15

wimms
wimms

20 Feb 15

pyramid_whoauth
pyramid_whoauth

14 Apr 15

意见 repoze.who.plugins.browserid

评论没有发现
添加评论
打开图片!