repoze.who.plugins.browserid

Screenshot Software:
repoze.who.plugins.browserid
Mga detalye ng Software:
Bersyon: 0.5.0
I-upload ang petsa: 20 Feb 15
Nag-develop: Mozilla Services Team
Lisensya: Libre
Katanyagan: 18

Rating: 2.0/5 (Total Votes: 1)

repoze.who.plugins.browserid ay isang repoze.who plugin para sa pagpapatunay sa pamamagitan ng proyekto Mozilla BrowserID:
& Nbsp; https: //browserid.org/
Ito ay kasalukuyang sumusuporta sa pag-verify ng BrowserID assertions sa pamamagitan ng pag-post ang mga ito sa mga serbisyo browserid.org-verify. Bilang nagiging mas matatag ang protocol ito ay lumago ang kakayahan upang i-verify ang assertions lokal.
Configuration ng plugin ay maaaring gawin mula sa standard repoze.who config file tulad nito:
[Plugin: browserid]
paggamit = repoze.who.plugins.browserid: make_plugin
mga madla = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
paggamit = repoze.who.plugins.auth_tkt: make_plugin
lihim = Espesyal Aking Lihim
[Mga pantukoy]
mga plugin = authtkt browserid
[Authenticators]
mga plugin = authtkt browserid
[Challengers]
mga plugin = browserid
Tandaan na ipinares na namin ang BrowserID plugin sa pamantayan AuthTkt plugin nang sa gayon ay matandaan ito sa pag-login ng user sa kabuuan ng mga kahilingan.
Pag-customize
Ang sumusunod na setting ay maaaring tinukoy sa configuration file upang i-customize ang pag-uugali ng plugin:
& Nbsp; madla:
& Nbsp; ng isang space-separated na listahan ng mga katanggap-tanggap na mga hostname o mga pattern ng Glob para sa BrowserID badya madla. Ang anumang badya na ang madla ay hindi tumutugma sa isang item sa listahan na ito.
& Nbsp; Dapat kang tumukoy ng halaga para sa setting na ito, dahil ito ay mahalaga sa seguridad ng BrowserID. Tingnan ang seksyon ng Security Notes sa ibaba para sa karagdagang detalye.
& Nbsp; rememberer_name:
& Nbsp; Ang pangalan ng isa pang repoze.who plugin kung saan ay dapat na tinatawag na tandaan / kalimutan ang pagpapatotoo. Gusto Ito ay karaniwang isang-sign-cookie pagpapatupad tulad ng built-in na auth_tkt plugin. Kung unspecificed o Wala sa pagpapatotoo pagkatapos ay hindi tatandaan.
& Nbsp; postback_url:
& Nbsp; Ang URL kung saan BrowserID kredensyal dapat ipadala para sa pagpapatunay. Ang default na halaga ay sana hindi pagkakasundo libreng: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Ang pangalan ng field POST form na kung saan upang mahanap ang BrowserID badya. Ang default na halaga ay "badya".
& Nbsp; came_from_field:
& Nbsp; Ang pangalan ng field POST form na kung saan upang mahanap ang nagre-refer na pahina, na kung saan ay nai-redirect pagkatapos ng pagproseso ng kanilang mga pag-login ng user. Ang default na halaga ay "came_from".
& Nbsp; csrf_field:
& Nbsp; Ang pangalan ng field POST form na kung saan upang mahanap ang token proteksyon CSRF. Ang default na halaga ay "csrf_token". Kung nakatakda sa walang laman na string pagkatapos CSRF checking ay hindi pinagana.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Ang pangalan ng cookie na kung saan upang i-set at hanapin ang token proteksyon CSRF. Ang default na pangalan ng cookie "browserid_csrf_token". Kung nakatakda sa walang laman na string pagkatapos CSRF checking ay hindi pinagana.
& Nbsp; challenge_body:
& Nbsp; Ang lokasyon kung saan upang mahanap ang HTML para sa pahina ng pag-login, alinman bilang isang tuldok-tuldok na reference python o isang filename. Maaaring gamitin ang HTML na nilalaman python string agaw syntax isama ang mga detalye ng hamon, hal gamitin% (csrf_token) s upang isama ang token CSRF.
& Nbsp; verifier_url:
& Nbsp; Ang URL ng verify serbisyo BrowserID, na kung saan ang lahat ng mga assertions ay ipo-post sa pagsusuri. Ang default na halaga ay ang standard browserid.org verify at dapat ay angkop para sa lahat ng mga layunin.
& Nbsp; urlopen:
& Nbsp; Ang tuldok-tuldok na pangalan python ng isang callable pagpapatupad ng parehong API bilang urllib.urlopen, na gagamitin upang ma-access ang serbisyo BrowserID-verify. Ang default na halaga utils: secure_urlopen na ang mahigpit na sertipiko HTTPS-check sa pamamagitan ng default.
& Nbsp; check_https:
& Nbsp; Boolean nagpapahiwatig kung tanggihan pagtatangka sa pag-login sa paglipas ng enencrypted na koneksyon. Ang default na halaga ay Mali.
& Nbsp; check_referer:
& Nbsp; Boolean nagpapahiwatig kung tanggihan pagtatangka sa pag-login kung saan ang header-refer ay hindi tugma sa inaasahang madla. Ang default ay ang gawin ang check para sa mga secure na koneksyon lamang.
Mga Tala sa Seguridad
CSRF Proteksiyon
Sinusubukan ng plugin na ito upang magbigay ng ilang mga pangunahing proteksyon laban sa pag-login-CSRF pag-atake tulad ng inilarawan sa pamamagitan ng Barth et. al. sa "magagaling na panlaban para sa pamemeke Kahilingan Cross-Site":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Sa terminolohiya ng papel sa itaas, pinagsasama nito ang isang session-independiyenteng nabanggit na pangyayari na may mahigpit na nag-refer ng pagsusuri para sa mga secure na koneksyon. Maaari kang mag-tweak ang proteksyon sa pamamagitan ng pagsasaayos ang "csrf_cookie_name", "check_referer" at mga setting "check_https".
Sinusuri ng Madla
BrowserID gumagamit ng mga kuru-kuro ng isang "madla" upang maprotektahan laban sa ninakaw na mga pag-login. Madla Ang Kaugnayan ng BrowserID badya sa isang partikular na host, sa gayon ay hindi maaaring mangolekta ng isang nang-aatake assertions sa isang site at pagkatapos ay gamitin ang mga ito upang mag-log in sa isa pa.
Plugin na ito ay gumaganap ng mahigpit na madla ng pagsusuri sa pamamagitan ng default. Dapat kang magbigay ng isang listahan ng mga katanggap-tanggap na string madla kapag lumilikha ng plugin, at dapat silang maging tiyak sa iyong application. Halimbawa, kung pinaglilingkuran ng iyong application ng mga kahilingan sa tatlong iba't ibang mga hostname http://mysite.com, http://www.mysite.com at http://uploads.mysite.com, maaari kang magbigay:
[Plugin: browserid]
paggamit = repoze.who.plugins.browserid: make_plugin
mga madla = mysite.com * .mysite.com
Kung ang iyong application ay mahigpit na check sa mga header ng HTTP Host, pagkatapos ay maaari mong tagubilinan ang plugin upang gamitin ang header ng Host ng madla sa pamamagitan ng umaalis sa blangko listahan:
[Plugin: browserid]
paggamit = repoze.who.plugins.browserid: make_plugin
mga madla =
Hindi ito ang default na pag-uugali dahil maaari itong maging hindi secure na sa ilang mga sistema

Ano ang bagong sa paglabas:.

  • Fix javascript upang gamitin navigator.id.get () sa halip na ang hindi na ginagamit navigator.id.getVerifiedEmail.

Ano ang bagong sa bersyon 0.4.0:.

  • -migrate mula PyVEP sa PyBrowserID

Ano ang bagong sa bersyon 0.3.0:

  • I-update para sa API pagkakatugma sa PyVEP & gt; = 0.3. 0.

Ano ang bagong sa bersyon 0.2.1:

  • I-update para sa API pagkakatugma sa PyVEP & gt; = 0.2. 0.

Ano ang bagong sa bersyon 0.2.0:

  • pag-verify Refactor code sa isang standand-alone library na may pangalang & quot;. PyVEP & quot ;, na ngayon ay isang dependency

Mga Kinakailangan :

  • Python

Iba pang mga software developer ng Mozilla Services Team

powerhose
powerhose

20 Feb 15

Cornice
Cornice

20 Feb 15

Mga komento sa repoze.who.plugins.browserid

Mga Komento hindi natagpuan
Magdagdag ng komento
I-sa mga imahe!