repoze.who.plugins.browserid

Logiciel capture d'écran:
repoze.who.plugins.browserid
Détails logiciels:
Version: 0.5.0
Date de transfert: 20 Feb 15
Développeur: Mozilla Services Team
Licence: Gratuit
Popularité: 0
Télécharger

Rating: 2.0/5 (Total Votes: 1)

repoze.who.plugins.browserid est un plugin pour l'authentification via repoze.who BrowserID projet de Mozilla:
& Nbsp; https: //browserid.org/
Il prend actuellement en charge la vérification des déclarations BrowserID en les affichant aux services browserid.org de vérificateur. Comme le protocole devient plus stable, il augmentera la capacité de vérifier les affirmations localement.
Configuration du plugin peut être fait à partir du fichier de config repoze.who norme comme ceci:
[Plugin: BrowserID]
utilisation = repoze.who.plugins.browserid: make_plugin
public = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
utilisation = repoze.who.plugins.auth_tkt: make_plugin
secrète = My Secret spécial
[identificateurs]
plugins = authtkt BrowserID
[authentificateurs]
plugins = authtkt BrowserID
[challengers]
plugins = BrowserID
Notez que nous avons jumelé le plugin BrowserID avec le plugin AuthTkt standard, de sorte qu'il peut se souvenir de la connexion de l'utilisateur entre les requêtes.
Personnalisation
Les paramètres suivants peuvent être spécifiés dans le fichier de configuration pour personnaliser le comportement du plugin:
& nbsp; le public:
& Nbsp; Une liste séparée par des espaces de noms d'hôte ou des motifs acceptables glob pour l'affirmation public BrowserID. Toute affirmation dont l'audience ne correspond pas à un élément dans la liste sera rejetée.
& Nbsp; Vous devez spécifier une valeur pour ce paramètre, car il fait partie intégrante de la sécurité de BrowserID. Voir la section Notes de sécurité ci-dessous pour plus de détails.
& Nbsp; rememberer_name:
& Nbsp; Le nom d'un autre plugin repoze.who qui devrait être appelé à se rappeler / oublier l'authentification. Ce serait typiquement une mise en œuvre signé cookie tels que le plugin auth_tkt intégré. Si unspecificed ou Aucun alors l'authentification ne sera pas mémorisé.
& Nbsp; postback_url:
& Nbsp; L'URL à laquelle BrowserID pouvoirs doivent être envoyés pour validation. La valeur par défaut est en conflit espérons gratuitement: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; Le nom du champ de formulaire POST dans lequel de trouver l'affirmation BrowserID. La valeur par défaut est «affirmation».
& Nbsp; came_from_field:
& Nbsp; Le nom du champ de formulaire POST dans lequel pour trouver la page de renvoi, à laquelle l'utilisateur sera redirigé après le traitement de leur connexion. La valeur par défaut est "came_from".
& Nbsp; csrf_field:
& Nbsp; Le nom du champ de formulaire POST dans lequel de trouver la protection jeton CSRF. La valeur par défaut est "csrf_token". Si réglé à la chaîne vide alors CSRF contrôle est désactivé.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; Le nom du cookie dans lequel définir et trouver le jeton de protection CSRF. Le nom de cookie par défaut est "browserid_csrf_token". Si réglé à la chaîne vide alors CSRF contrôle est désactivé.
& Nbsp; challenge_body:
& Nbsp; L'endroit où trouver le code HTML de la page de connexion, soit comme une référence de python en pointillés ou un nom de fichier. Le contenue HTML peut utiliser la syntaxe chaîne d'interpolation de python d'inclure les détails du défi, par exemple utiliser% (csrf_token) s d'inclure le jeton CSRF.
& Nbsp; verifier_url:
& Nbsp; L'URL du service de vérificateur BrowserID, à laquelle toutes les assertions sera affiché pour vérification. La valeur par défaut est le vérificateur de browserid.org standard et doit être adapté à toutes fins.
& Nbsp; urlopen:
& Nbsp; Le nom de python pointillée d'un appelable application de la même API que urllib.urlopen, qui sera utilisé pour accéder au service BrowserID de vérificateur. Les utils valeur par défaut: secure_urlopen qui fait certificat HTTPS strict contrôle par défaut.
& nbsp; check_https:
& Nbsp; booléenne indiquant se il faut rejeter les tentatives de connexion sur des connexions enencrypted. La valeur par défaut est False.
& Nbsp; check_referer:
& Nbsp; booléenne indiquant se il faut rejeter les tentatives de connexion où l'en-tête de referer ne correspond pas à l'audience attendue. La valeur par défaut est d'effectuer cette vérification pour seulement connexions sécurisées.
Notes de sécurité
Protection CSRF
Ce plugin tente de fournir une certaine protection de base contre les attaques CSRF login-comme décrit par Barth et. al. dans «défenses robustes pour Cross-Site Request Forgery":
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Dans la terminologie de l'article ci-dessus, il combine un nonce de la session-indépendant avec referer stricte vérification des connexions sécurisées. Vous pouvez modifier la protection en ajustant le "csrf_cookie_name", "check_referer" et les paramètres "de check_https".
Audience Vérification
BrowserID utilise la notion de "public" pour se protéger contre les connexions volés. Le public attache une affirmation BrowserID à un hôte spécifique, de sorte qu'un attaquant ne peut pas collecter des affirmations sur un seul site, puis les utiliser pour vous connecter à un autre.
Ce plugin effectue un contrôle par défaut public stricte. Vous devez fournir une liste de chaînes d'audience acceptable lors de la création du plugin, et ils doivent être spécifiques à votre application. Par exemple, si votre application sert demandes sur trois noms d'hôte différents http://mysite.com, http://www.mysite.com et http://uploads.mysite.com, vous pourriez fournir:
[Plugin: BrowserID]
utilisation = repoze.who.plugins.browserid: make_plugin
public = mysite.com * .mysite.com
Si votre application ne contrôle strict de l'en-tête HTTP Host, alors vous pouvez charger le plug-in d'utiliser l'en-tête de l'hôte que le public en laissant la liste blanche:
[Plugin: BrowserID]
utilisation = repoze.who.plugins.browserid: make_plugin
Audiences =
Ce ne est pas le comportement par défaut car il peut être insécurité sur certains systèmes

Quoi de neuf dans cette version:.

  • Fix JavaScript pour utiliser navigator.id.get () au lieu de la navigator.id.getVerifiedEmail obsolète.

Ce qui est nouveau dans la version 0.4.0:.

  • Migrer à partir PyVEP à PyBrowserID

Quoi de neuf dans la version 0.3.0:

  • Mise à jour pour la compatibilité avec l'API PyVEP & gt; = 0,3. 0.

Quoi de neuf dans la version 0.2.1:

  • Mise à jour pour la compatibilité avec l'API PyVEP & gt; = 0,2. 0.

Quoi de neuf dans la version 0.2.0:

  • code de vérification Refactoriser dans une bibliothèque de standand-alone nommé & quot;. & quot ;, PyVEP qui est maintenant une dépendance

Exigences :

  • Python

20 Feb 15

D'autres logiciels de développeur Mozilla Services Team

pyramid_whoauth
pyramid_whoauth

14 Apr 15

pyramid_ipauth
pyramid_ipauth

15 Apr 15

repoze.who.plugins.digestauth
repoze.who.plugins.digestauth

15 Apr 15

Commentaires à repoze.who.plugins.browserid

Commentaires non trouvées
Ajouter un commentaire
Tourner sur les images!
Recherche par catégorie
Logiciel populaire