repoze.who.plugins.browserid הוא תוסף repoze.who לאימות באמצעות פרויקט BrowserID של מוזילה:
& Nbsp; https: //browserid.org/
הוא תומך כעת אימות של טענות BrowserID על ידי פרסומם לשירותי אימות browserid.org. כפרוטוקול הופך יציב יותר זה יגדל היכולת לאמת את הטענות באופן מקומי.
תצורה של התוסף ניתן לעשות מאת קובץ config repoze.who הסטנדרטי כמו כל כך:
[תוסף: browserid]
שימוש = repoze.who.plugins.browserid: make_plugin
קהלים = www.mysite.com
rememberer_name = authtkt
[תוסף: authtkt]
שימוש = repoze.who.plugins.auth_tkt: make_plugin
סוד = המיוחד הסוד שלי
[מזהים]
תוספים = authtkt browserid
[Authenticators]
תוספים = authtkt browserid
[מתמודדת]
תוספים = browserid
שים לב שיש לנו לזווג את תוסף BrowserID עם תוסף AuthTkt הסטנדרטי, כך שהוא יכול לזכור כניסה של המשתמש על פני בקשות.
התאמה אישית
ניתן לציין את ההגדרות הבאות בקובץ התצורה כדי להתאים אישית את ההתנהגות של התוסף:
& Nbsp; קהלים:
& Nbsp; רשימה מופרדת שטח של מארחים מקובלים או דפוסי גוש לקהל טענת BrowserID. כל טענה שהקהל שלהם אינה תואמת את פריט ברשימה יידחה.
& Nbsp; אתה חייב לציין ערך עבור הגדרה זו, שכן הוא חלק בלתי נפרד מהביטחון של BrowserID. עיין במקטע הערות להלן אבטחה לקבלת פרטים נוספים.
& Nbsp; rememberer_name:
& Nbsp; שמו של תוסף repoze.who אחר שאמור להיקרא לזכור / לשכוח את האימות. זה היה בדרך כלל להיות יישום חתמה-עוגייה כגון תוסף auth_tkt המובנה. אם unspecificed או אף לאחר מכן אימות לא תיזכר.
& Nbsp; postback_url:
& Nbsp; כתובת האתר שאליו BrowserID אישורי יש לשלוח לאימות. ערך ברירת המחדל הוא תקווה להתנגש חופשי: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; שמו של שדה טופס POST בי למצוא את טענת BrowserID. ערך ברירת המחדל הוא "טענה".
& Nbsp; came_from_field:
& Nbsp; שמו של שדה טופס POST שבלמצוא את דף המפנה, שאליו המשתמש יהיה מנותב לאחר עיבוד ההתחברות שלהם. ערך ברירת המחדל הוא "came_from".
& Nbsp; csrf_field:
& Nbsp; שמו של שדה טופס POST בי למצוא את אסימון הגנת CSRF. ערך ברירת המחדל הוא "csrf_token". אם נקבע למחרוזת הריקה אז בדיקת CSRF מושבת.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; שמו של העוגייה שבי להגדיר ולמצוא את אסימון הגנת CSRF. שם עוגיית ברירת המחדל הוא "browserid_csrf_token". אם נקבע למחרוזת הריקה אז בדיקת CSRF מושבת.
& Nbsp; challenge_body:
& Nbsp; המיקום שבו כדי למצוא את HTML לדף הכניסה, או כנקודת התייחסות פיתון מנוקדת או שם הקובץ. HTML הכיל יכול להשתמש בתחביר אינטרפולציה מחרוזת פיתון לכלול פרטים של האתגר, למשל להשתמש% (csrf_token) s לכלול אסימון CSRF.
& Nbsp; verifier_url:
& Nbsp; כתובת האתר של שירות אימות BrowserID, שלכל הטענות יפורסמו לבדיקה. ערך ברירת המחדל הוא אימות browserid.org סטנדרטית וצריך להיות מתאים לכל הדבר והעניין.
& Nbsp; urlopen:
& Nbsp; שם פיתון המנוקד של callable יישום אותו API כurllib.urlopen, אשר ישמש לגישה לשירות אימות BrowserID. Utils ערך ברירת המחדל: secure_urlopen שעושה תעודת HTTPS קפדנית בדיקה כברירת מחדל.
& Nbsp; check_https:
& Nbsp; בוליאנית המציינת אם לדחות ניסיונות כניסה בחיבורי enencrypted. ערך ברירת המחדל הוא False.
& Nbsp; check_referer:
& Nbsp; בוליאנית המציינת אם לדחות ניסיונות כניסה שבו גורם המפנה אינו תואם את הקהל הצפוי. ברירת המחדל הוא לבצע בדיקה זו עבור חיבורים מאובטחים בלבד.
אבטחת הערות
הגנת CSRF
תוסף זה מנסה לספק הגנה מסוימת מפני התקפות בסיסיות התחברות-CSRF כפי שתואר על ידי et בארת '. אל. ב" הגנות חזקות לבקשת זיוף בין אתרים ":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
במינוח של הנייר מעל, הוא משלב Nonce מושב עצמאי עם מפנה קפדן בדיקת חיבורים מאובטחים. אתה יכול לצבוט את ההגנה על ידי התאמה "csrf_cookie_name", "check_referer" והגדרות "check_https".
בדיקת קהל
BrowserID משתמש ברעיון של "קהל" על מנת להגן מפני כניסות גנובות. הקהל קושר טענת BrowserID למארח ספציפי, כך שתוקף אינו יכול לאסוף טענות באתר אחד ולאחר מכן להשתמש בם כדי להתחבר למשנהו.
תוסף זה מבצע קהל קפדן בדיקה כברירת מחדל. עליך לספק רשימה של מחרוזת קהל מקובלת בעת יצירת התוסף, והם צריכים להיות ספציפיים ליישום שלך. לדוגמא, אם היישום שלך משמש בקשות על שלושה שמות מארחים שונים http://mysite.com, http://www.mysite.com וhttp://uploads.mysite.com, אתה עשוי לספק:
[תוסף: browserid]
שימוש = repoze.who.plugins.browserid: make_plugin
קהלים = mysite.com * .mysite.com
אם היישום שלך עושה בדיקה קפדנית של כותרת מארח HTTP, אז אתה יכול להורות לתוסף ללהשתמש בכותרת המארח כקהל על ידי השארה ריקה רשימה:
[תוסף: browserid]
שימוש = repoze.who.plugins.browserid: make_plugin
= קהלים
זה לא התנהגות ברירת המחדל שכן הוא עשוי להיות חסר ביטחון בחלק מהמערכות
מה חדש בהודעה זו :.
-
תקן JavaScript כדי להשתמש navigator.id.get () במקום navigator.id.getVerifiedEmail מיושן.
מה חדש בגרסה 0.4.0:.
- להגר מPyVEP לPyBrowserID
מה חדש בגרסת 0.3.0:
- עדכון עבור תאימות עם API PyVEP & gt; = 0.3. 0.
מה חדש בגרסה 0.2.1:
- עדכון עבור תאימות עם API PyVEP & gt; = 0.2. 0.
מה חדש בגרסה 0.2.0:
- קוד אימות Refactor לספריית סטנדרט עם-לבד בשם & Quot;. PyVEP & quot ;, שנמצאה עכשיו תלות
דרישות :
- Python
תגובות לא נמצא