repoze.who.plugins.browserid Mozilla BrowserID layihəsi vasitəsilə identifikasiyası üçün repoze.who plugin edir:
& Nbsp; https: //browserid.org/
Hal-hazırda browserid.org Doğrulama xidmətləri onları göndererek BrowserID iddialar yoxlanılmasına dəstəkləyir. Protokol daha sabit olur kimi yerli iddialar yoxlamaq imkanı artacaq.
Plugin konfiqurasiya belə kimi standart repoze.who konfiqurasiya faylını edilə bilər:
[Plugin: browserid]
istifadə = repoze.who.plugins.browserid: make_plugin
auditoriya = www.mysite.com
rememberer_name = authtkt
[Plugin: authtkt]
istifadə = repoze.who.plugins.auth_tkt: make_plugin
gizli = Mənim xüsusi Secret
[Tanımlayıcıları]
plugins = authtkt browserid
[Doğruluğunu təsdiq edən]
plugins = authtkt browserid
[Challengers]
plugins = browserid
Bu sorğu üzrə istifadəçi giriş xatırlayıram ki, biz standart AuthTkt plugin ilə BrowserID plugin qoşalaşmış ki, unutmayın.
Özelleştirme
Aşağıdakı ayarları plugin davranış özelleştirmek üçün konfiqurasiya faylını müəyyən edilə bilər:
& Nbsp; auditoriya:
& Nbsp; BrowserID təsdiq auditoriya üçün məqbul ana kompüter adları və ya glob nümunələri bir yer ayrılmış siyahısı. Onun tamaşaçı hər hansı təsdiq siyahısına bir maddə rədd ediləcəkdir uyğun deyil.
& Nbsp; bu BrowserID təhlükəsizliyinə ayrılmaz çünki, bu qəbulu üçün bir değer daxil olmalıdır. Daha ətraflı məlumat üçün aşağıdakı Təhlükəsizlik Qeydlər saytına baxın.
& Nbsp; rememberer_name:
& Nbsp; / yadda identifikasiyası unutmaq adlı edilməlidir başqa repoze.who plugin adı. Bu adətən belə daxili auth_tkt plugin kimi imzalı-cookie həyata keçirilməsi olacaq. Unspecificed ya Yox sonra identifikasiyası yadda deyil.
& Nbsp; postback_url:
& Nbsp; etimadnaməsini BrowserID URL qiymətləndirmə göndərilməlidir. Mənim cari dəyəri inşallah pulsuz zidd olunur: /repoze.who.plugins.browserid.postback.
& Nbsp; assertion_field:
& Nbsp;
& Nbsp; POST forma sahəsində adı olan BrowserID təsdiq tapa bilərsiniz. default dəyəri "təsdiq" dir.
& Nbsp; came_from_field:
& Nbsp; istinad səhifə tapmaq üçün POST forma sahəsində, adı olan istifadəçi giriş emal sonra yönlendirileceksiniz olacaq. default dəyəri "came_from" dir.
& Nbsp; csrf_field:
& Nbsp; POST forma sahəsində adı olan CSRF müdafiə mö'cüzə tapa bilərsiniz. default dəyəri "csrf_token" dir. Sonra boş string müəyyən etsəniz CSRF yoxlanılması aradan.
& Nbsp; csrf_cookie_name:
& Nbsp;
& Nbsp; cookie adı müəyyən və CSRF qorunması mö'cüzə tapa bilərsiniz. default cookie adı "browserid_csrf_token" dir. Sonra boş string müəyyən etsəniz CSRF yoxlanılması aradan.
& Nbsp; challenge_body:
& Nbsp; at yeri ya dotted python arayış və ya bir fayl kimi, giriş-səhifə üçün HTML tapa bilərsiniz. tərkibindəki HTML problem, məsələn, detalları daxil python string interpolation sintaksis istifadə edə bilər CSRF mö'cüzə daxil% (csrf_token) var istifadə edin.
& Nbsp; verifier_url:
& Nbsp; BrowserID Doğrulama xidmət URL olan bütün iddialar yoxlanılması üçün təqdim olunub olunacaq. Mənim cari dəyəri standart browserid.org Doğrulama və bütün məqsədlər üçün uyğun olmalıdır.
& Nbsp; urlopen:
& Nbsp; BrowserID Doğrulama xidmət daxil olmaq üçün istifadə olunacaq urllib.urlopen eyni API həyata alına bilən bir dotted python adı. Mənim cari dəyəri utils: ismarıcları yoxlanılması ciddi HTTPS sənədi yoxdur hansı secure_urlopen.
& Nbsp; check_https:
& Nbsp; Boolean enencrypted əlaqələri üzərində giriş cəhdləri rədd olmadığını ifadə edən. Mənim cari dəyəri False edir.
& Nbsp; check_referer:
& Nbsp; Boolean Referer mövzu nə gözlənilir, tamaşaçı uyğun deyil giriş cəhdləri rədd olmadığını ifadə edən. default güvenli keçid üçün yalnız bu çek çıxış edir.
Təhlükəsizlik Qeydlər
CSRF Müdafiə
Bu plugin Barth et təsvir kimi giriş-CSRF hücumlara qarşı bəzi əsas müdafiə təmin etmək üçün çalışır. al. "Cross-Site Filmlərin saxta Sağlam Müdafiə" in:
& Nbsp; http: //seclab.stanford.edu/websec/csrf/csrf.pdf
Yuxarıda kağız terminologiya, bu ciddi Referer güvenli keçid yoxlanılması ilə sessiya müstəqil keçmiş nonce birləşdirir. Siz "csrf_cookie_name", "check_referer" və "check_https" parametrləri düzəliş müdafiə çimdik bilər.
Tamaşaçılar yoxlanılması
BrowserID oğurlanmış giriş qarşı qorumaq üçün "tamaşaçı" anlayışı istifadə edir. təcavüzkar bir saytda iddialar toplamaq və sonra başqa bir daxil üçün istifadə edə bilməz, belə ki, tamaşaçı, xüsusi ev sahibi bir BrowserID təsdiq əlaqələri.
Bu plugin ismarıcları yoxlanılması ciddi tamaşaçı həyata keçirir. Plugin oluştururken qəbul tamaşaçı simli bir siyahısını təmin etməlidir və onlar proqram xüsusi olmalıdır. Məsələn, əgər ərizə üç müxtəlif kompüter adları barədə sorğu xidmət http://mysite.com, http://www.mysite.com və http://uploads.mysite.com, siz təmin edə bilər:
[Plugin: browserid]
istifadə = repoze.who.plugins.browserid: make_plugin
auditoriya = mysite.com * .mysite.com
Sizin tətbiqi HTTP Host mövzu ciddi yoxlanılması edir, onda siyahısı boş tərk tərəfindən tamaşaçı kimi Host mövzu istifadə etmək üçün plugin göstəriş bilər:
[Plugin: browserid]
istifadə = repoze.who.plugins.browserid: make_plugin
auditoriya =
Bu, bəzi sistemləri etibarsız ola bilər-ci ildən default davranış deyil
Bu azad yeni nədir.
- Fix javascript yerinə deprecated navigator.id.getVerifiedEmail ilə) navigator.id.get (istifadə etmək.
versiya 0.4.0 yeni nədir.
- PyVEP dən PyBrowserID miqrasiya
versiya 0.3.0 yeni nədir:
- PyVEP və GT ilə API uyğunluq üçün Update; = 0.3. 0.
versiya 0.2.1 yeni nədir:
- PyVEP və GT ilə API uyğunluq üçün Update; = 0,2. 0.
nədir versiya 0.2.0-ci Yeni
- bir standand-tək kitabxana daxil Refactor təsdiq kod adlı & quot;. PyVEP və indi bir asılılıq deyil quot ;,
tələblər
- Python
Şərhlər tapılmadı