repoze.who.plugins.browserid

repoze.who.plugins.browserid是repoze.who插件通過Mozilla的BROWSERID項目認證：
＆NBSP; HTTPS：//browserid.org/
目前，它由他們張貼到browserid.org驗證服務支持驗證BROW​​SERID斷言。作為協議變得更加穩定，將增長到本地驗證斷言的能力。
插件的配置可以從像這樣的標準repoze.who配置文件來完成：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
觀眾= www.mysite.com
rememberer_name = authtkt
[插件：authtkt]
使用= repoze.who.plugins.auth_tkt：make_plugin
秘密=我的特別秘密
[標識符]
插件= authtkt BROWSERID
[鑑定人]
插件= authtkt BROWSERID
[挑戰者]
插件= BROWSERID
請注意，我們已經配對BROWSERID插件與標準AuthTkt插件，以便它可以記住跨請求用戶的登錄。
定制
下面的設置可以在配置文件中指定自定義插件的行為：
＆NBSP;觀眾：
＆NBSP;接受主機名或水珠圖案的BROWSERID斷言觀眾的空格分隔列表。任何斷言其觀眾不匹配列表中的項目將被拒絕。
＆NBSP;你必須為此設置指定的值，因為它是不可或缺的BROWSERID的安全性。請參閱下面的安全注意事項部分獲取更多細節。
＆NBSP; rememberer_name：
＆NBSP;另一個repoze.who插件，它應該被稱為記得/忘記了身份驗證的名稱。這通常是一個帶符號的cookie的實現，諸如內置auth_tkt插件。如果unspecificed或無再認證將不會被記住。
＆NBSP; postback_url：
＆NBSP;應發送的驗證URL到BROWSERID憑據。默認值是希望無衝突：/repoze.who.plugins.browserid.postback。
＆NBSP; assertion_field：
＆NBSP;
＆NBSP;在其中找到BROWSERID斷言POST表單字段的名稱。默認值是“斷言”。
＆NBSP; came_from_field：
＆NBSP;該用戶將被處理他們登錄後重定向在其中找到引用頁的POST表單域，名稱。默認值是“came_from”。
＆NBSP; csrf_field：
＆NBSP;在其中找到了CSRF保護令牌的POST表單字段的名稱。默認值是“csrf_token”。如果設置為空字符串，然後CSRF檢查被禁用。
＆NBSP; csrf_cookie_name：
＆NBSP;
＆NBSP;在其中設置cookie的名字，並找到CSRF保護令牌。默認的Cookie名稱為“browserid_csrf_token”。如果設置為空字符串，然後CSRF檢查被禁用。
＆NBSP; challenge_body：
＆NBSP;在此位置找到的HTML登錄頁面，無論是作為點綴蟒蛇引用或者一個文件名。所包含的HTML可以使用Python字符串插語法，包括挑戰，如細節使用％（csrf_token）S到包括CSRF令牌。
＆NBSP; verifier_url：
＆NBSP;在BROWSERID驗證服務的URL，所有斷言將張貼檢查到。缺省值是標準browserid.org驗證，並應適用於所有的用途。
＆NBSP;的urlopen：
＆NBSP;一個可調用的執行相同的API了urllib.urlopen，這將被用於訪問BROWSERID驗證服務虛線蟒名稱。默認值為utils的：secure_urlopen這確實嚴格的HTTPS證書默認檢查。
＆NBSP; check_https：
＆NBSP;布爾指示是否超過enencrypted連接拒絕登錄嘗試。默認值為False。
＆NBSP; check_referer：
＆NBSP;布爾值，指示是否拒絕登錄嘗試，其中引用者頭不符合預期的觀眾。默認值是執行該檢查只安全連接。
安全注意事項
CSRF保護
這個插件試圖所描述的巴特等人提供一些基本的防範登錄-CSRF攻擊。人。在“穩健防禦為跨站請求偽造”：
＆NBSP; HTTP：//seclab.stanford.edu/websec/csrf/csrf.pdf
另外，在上述紙張的術語，它結合了一個會話無關的隨機數與嚴格的referer檢查安全連接。可以通過調整“csrf_cookie_name”，“check_referer”和“check_https”設定調整的保護。
觀眾檢查
BROWSERID使用的“觀眾”，以防止被盜登錄的概念。觀眾領帶BROWSERID斷言到一個特定的主機，從而使攻擊者無法收集在一個網站上斷言，然後用它們來登錄到另一個。
這個插件進行嚴格的觀眾在默認情況下選中。您必須提供可接受的觀眾字符串列表創建插件的時候，他們應該是特定於應用程序。例如，如果您的應用程序提供三種不同的主機名請求http://mysite.com，http://www.mysite.com和http://uploads.mysite.com，你可能會提供：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
觀眾= mysite.com * .mysite.com
如果您的應用程序進行嚴格的檢查，對HTTP主機頭，那麼你可以指示插件留下的空白列表使用為觀眾主機頭：
[插件：BROWSERID]
使用= repoze.who.plugins.browserid：make_plugin
觀眾=
這是不是默認的行為，因為它可能是不安全的在某些系統上

什麼在此版本中是新的：

• 在修復JavaScript來使用，而不是過時的navigator.id.getVerifiedEmail navigator.id.get（）。

什麼在0.4.0版本新：

• 在遷移從PyVEP到PyBrowserID

什麼版本0.3.0是新的：

• 在更新的API兼容性與PyVEP＆GT; = 0.3。 0。

什麼版本0.2.1的新：

• 在更新的API兼容性與PyVEP＆GT; = 0.2。 0。

什麼是0.2.0版本，新的：

• 在重構驗證碼成standand單獨命名的圖書館＆QUOT; PyVEP＆QUOT;，現在是一個依賴

要求：

• 在Python中