وrepoze.who.plugins.browserid هو البرنامج المساعد repoze.who للمصادقة عبر مشروع BrowserID موزيلا:
على & nbsp؛ HTTPS: //browserid.org/
وهو يدعم حاليا التحقق من تأكيدات BrowserID من خلال نشرها لخدمات browserid.org المدقق. كما يصبح أكثر استقرارا بروتوكول انها سوف تنمو القدرة على التحقق من تأكيدات محليا.
تكوين المساعد يمكن القيام به من ملف repoze.who التكوين القياسية مثل ذلك:
[المساعد: browserid]
استخدام = repoze.who.plugins.browserid: make_plugin
الجماهير = www.mysite.com
rememberer_name = authtkt
[المساعد: authtkt]
استخدام = repoze.who.plugins.auth_tkt: make_plugin
سري = بلدي سر الخاصة
[معرفات]
الإضافات = authtkt browserid
[الموثقون]
الإضافات = authtkt browserid
[منافسيه]
الإضافات = browserid
لاحظ أننا إقران المساعد BrowserID مع معيار AuthTkt المساعد بحيث يمكن أن نتذكر تسجيل الدخول للمستخدم عبر طلبات.
التخصيص
يمكن تحديد الإعدادات التالية في ملف التكوين لتخصيص سلوك المساعد:
وعنبسة، الجماهير:
على & nbsp؛ قائمة مفصولة مساحة من المضيفين مقبولة أو أنماط غلوب لتأكيد الحضور BrowserID. لا يتطابق أي تأكيد الحضور الذين سيتم رفض عنصر في القائمة.
على & nbsp؛ يجب تحديد قيمة لهذا الإعداد، لأنه جزء لا يتجزأ من أمن BrowserID. راجع قسم ملاحظات الأمن أدناه للحصول على مزيد من التفاصيل.
على & nbsp؛ rememberer_name:
على & nbsp؛ اسم البرنامج المساعد repoze.who آخر والتي ينبغي أن تسمى أن نتذكر / نسيان المصادقة. وهذا من شأنه أن يكون عادة تنفيذ قعت-الكعكة مثل المدمج في auth_tkt المساعد. إذا unspecificed أو لا يوجد عندها لن يتذكر المصادقة.
على & nbsp؛ postback_url:
على & nbsp؛ يجب أن ترسل URL التي BrowserID أوراق الاعتماد من أجل التحقق من الصحة. القيمة الافتراضية ونأمل تتعارض الحرية: /repoze.who.plugins.browserid.postback.
على & nbsp؛ assertion_field:
على & nbsp؛
على & nbsp؛ اسم حقل النموذج الذي POST في العثور على التأكيد BrowserID. القيمة الافتراضية هي "التأكيد".
على & nbsp؛ came_from_field:
على & nbsp؛ اسم حقل النموذج الذي POST في العثور على الصفحة اشارة، والتي سيتم إعادة توجيه المستخدم بعد معالجة تسجيل الدخول الخاصة بهم. القيمة الافتراضية هي "came_from".
على & nbsp؛ csrf_field:
على & nbsp؛ اسم حقل النموذج الذي POST في العثور على حماية رمز CSRF. القيمة الافتراضية هي "csrf_token". إذا لتعيين سلسلة فارغة ثم يتم تعطيل التحقق CSRF.
على & nbsp؛ csrf_cookie_name:
على & nbsp؛
على & nbsp؛ اسم الكعكة التي لضبط والعثور على رمز الحماية CSRF. اسم ملف تعريف الارتباط الافتراضي هو "browserid_csrf_token". إذا لتعيين سلسلة فارغة ثم يتم تعطيل التحقق CSRF.
على & nbsp؛ challenge_body:
على & nbsp؛ والموقع الذي للعثور على HTML لصفحة تسجيل الدخول، إما على شكل الثعبان إشارة المنقطة أو اسم الملف. وتضمن التقرير HTML قد تستخدم الثعبان تركيب سلسلة الاستيفاء لتشمل تفاصيل عن التحدي، على سبيل المثال استخدام٪ (csrf_token) ق لتشمل الرمز المميز CSRF.
على & nbsp؛ verifier_url:
على & nbsp؛ وURL للخدمة المدقق BrowserID، والتي سوف يتم نشر كل التأكيدات للتدقيق. القيمة الافتراضية هي browserid.org المدقق القياسية، وينبغي أن تكون مناسبة لجميع الأغراض.
على & nbsp؛ urlopen:
على & nbsp؛ اسم الثعبان منقط لللاستدعاء تنفيذ نفس API كما urllib.urlopen، والتي سيتم استخدامها للوصول إلى الخدمة BrowserID المدقق. وتيلس القيمة الافتراضية: secure_urlopen التي لا شهادة HTTPS صارمة فحص افتراضيا.
على & nbsp؛ check_https:
على & nbsp؛ منطقية تشير إلى ما إذا رفض محاولات تسجيل الدخول عبر اتصالات enencrypted. القيمة الافتراضية هي False.
على & nbsp؛ check_referer:
على & nbsp؛ منطقية تشير إلى ما إذا رفض محاولات الدخول حيث لا رأس المحيل تتطابق مع الجمهور المتوقع. الافتراضي هو لتنفيذ هذا الاختيار لإجراء اتصالات آمنة فقط.
ملاحظات أمنية
حماية CSRF
ويحاول هذا البرنامج المساعد لتوفير بعض الحماية الأساسية ضد الهجمات تسجيل الدخول-CSRF كما وصفها بارث وآخرون. آل. في "الدفاعات القوية لعبر الموقع طلب التزوير":
على & nbsp؛ المتشعب: //seclab.stanford.edu/websec/csrf/csrf.pdf
في المصطلحات من الورقة المذكورة أعلاه، فهو يجمع بين نسبة حالية الدورة المستقلة والتحقق المحيل صارم لإجراء اتصالات آمنة. يمكنك قرص الحماية عن طريق ضبط "csrf_cookie_name"، "check_referer" و "check_https" الإعدادات.
الجمهور فحص
يستخدم BrowserID فكرة وجود "جمهور" لحماية ضد عمليات تسجيل الدخول المسروقة. الجمهور يربط تأكيدا BrowserID لمجموعة محددة، لذلك أن المهاجم لا يمكن جمع تأكيدات على موقع واحد ومن ثم استخدامها لتسجيل الدخول إلى آخر.
هذا البرنامج المساعد يقوم الجمهور صارم التحقق بشكل افتراضي. يجب تقديم قائمة من سلسلة جمهور مقبولة عند إنشاء البرنامج المساعد، وأنها ينبغي أن تكون محددة إلى التطبيق الخاص بك. على سبيل المثال، إذا يخدم طلبك طلبات على ثلاثة أسماء المضيفين مختلفة http://mysite.com، http://www.mysite.com وhttp://uploads.mysite.com، قد توفر ما يلي:
[المساعد: browserid]
استخدام = repoze.who.plugins.browserid: make_plugin
الجماهير = mysite.com * .mysite.com
إذا كان التطبيق الخاص بك لا تدقيق صارم من رأس HTTP المضيف، ثم يمكنك إرشاد البرنامج المساعد لاستخدام رأس المضيف إذ أن الجمهور من خلال ترك القائمة فارغة:
[المساعد: browserid]
استخدام = repoze.who.plugins.browserid: make_plugin
الجماهير =
ليس هذا هو السلوك الافتراضي لأنه قد يكون غير آمن على بعض الأنظمة
ما هو الجديد في هذا الإصدار:.
إصلاح جافا سكريبت لاستخدام navigator.id.get () بدلا من إهمال navigator.id.getVerifiedEmail.
ما هو الجديد في الإصدار 0.4.0:
ترحيل من PyVEP إلى PyBrowserID.
ما هو الجديد في الإصدار 0.3.0:
تحديث لالتوافق API مع PyVEP & GT؛ = 0.3.0.
ما هو الجديد في الإصدار 0.2.1:
تحديث لالتوافق API مع PyVEP & GT؛ = 0.2.0.
ما هو الجديد في الإصدار 0.2.0:
ريفاكتور رمز التحقق إلى مكتبة standand وحده اسمه ومثل، PyVEP ومثل ؛، الذي هو الآن تبعية.
المتطلبات:
بيثون
لم يتم العثور على التعليقات