repoze.who.plugins.vepauth 0.3.0

这是一个通过BrowserID自动认证的repoze.who插件

https://browserid.org/ https://wiki.mozilla.org/Identity/BrowserIDSync

该插件实现了用于通过验证电子邮件协议（即Mozilla的BrowserID项目）认证到RESTful Web服务的实验性协议。它旨在用于Firefox Sync客户端等自动化工具。如果您正在寻找用于您网站人类访客的东西，请尝试

http://github.com/mozilla-services/repoze.who.plugins.browserid

访问受保护资源时，服务器将生成一个带有“OAuth+VEP”方案的401挑战响应，如下所示

> GET /protected_resource HTTP/1.1
> Host: example.com

< HTTP/1.1 401 Unauthorized
< WWW-Authenticate: OAuth+VEP url="/request_token"

客户端应从中提取URL并将VEP声明POST到该位置。这将创建一个新的认证会话并返回一组OAuth客户端凭证

> POST /request_token HTTP/1.1
> Host: example.com
> Content-Type: application/x-www-form-urlencoded
>
> assertion=VEP_ASSERTION_DATA

< HTTP/1.1 200 OK
< Content-Type: application/json
<
< {
<   "oauth_consumer_key": SESSION_TOKEN,
<   "oauth_consumer_secret": SESSION_SECRET
< }

后续请求应使用这些凭证以双因素OAuth模式进行签名

> GET /protected_resource HTTP/1.1
> Host: example.com
> Authorization: OAuth oauth_consumer_key=SESSION_TOKEN,
>                      oauth_signature_method="HMAC-SHA1",
>                      oauth_version="1.0",
>                      oauth_timestamp=TIMESTAMP,
>                      oauth_nonce=NONCE
>                      oauth_signature=SIGNATURE

< HTTP/1.1 200 OK
< Content-Type: text/plain
<
< For your eyes only:  secret data!

会话令牌带有时间戳，最终会过期。如果发生这种情况，您将收到之前的401响应，并且应POST一个新的声明以获取新的凭证。