问题标签 [browserid]

常见问题解答建议我不要对 BrowserID（角色）安全断言进行本地验证，但是我从来不擅长遵循说明 。

所以...无论如何我都想实施本地验证。看起来客户端库传递给服务器端的唯一东西是一个称为“断言”的加密内容块。大概它是使用一些公钥加密方案加密或签名的，但我很难找到任何细节。

谁能解释一下，或者指点我的细节？

Sorry for the generic title. I'm playing around with Mozilla's Persona at the moment. I'm using Express.js with the express-persona middleware so setting everything up was incredibly simple. The client-side part is easy too, but I'm having a hard time understanding one particular part of the documentation. It says:

loggedInUser: The email address of the user currently logged into your site from this computer, or null if noone is logged in. For example, you might examine the browser's cookies to determine who is signed in. [...] Persona will compare the email address you've passed into loggedInUser with its own knowledge of whether a user is currently logged in, and who they are. If these don't match, it may automatically invoke onlogin or onlogout on page load. (Source)

express-persona sets a cookie which includes (I guess) the crypto-foo that acts as a password replacement. Am I supposed to store the email address returned by the backend in a separate cookie? That doesn't seem to be a very good idea. Maybe one of you guys knows how that's supposed to work.

我尝试编写一个骨架应用程序，使用本教程和护照文档使用Mozilla Persona进行身份验证，但登录总是失败 - 我不确定我做错了什么，因为我没有看到任何来自护照的日志。这是我的前端代码，这是我的服务器代码，我确实看到了 Persona 弹出窗口，但是当我从该弹出窗口登录时总是错误的。 req.isAuthenticated()

这是客户端代码的片段：

这是服务器代码：

Web Cryptography API中提议的对 Web 浏览器中 JavaScript 运行时环境的添加是否允许我们使用 JavaScript 安全地验证浏览器中的browserid 断言？

我正在实施角色登录系统（来自 Mozilla）。在我的开发机器上，我无法使用 cURL 连接到身份验证服务器。至少看起来是这样。

完全相同的脚本确实从 CLI 运行。

更新：我收到此错误，来自 *curl_error()*：

cURL PHP 模块已安装并且支持 https

这是一个测试脚本：

也在 GitHub 上

从 CLI 运行时的输出：

从服务器运行时的输出

我正在运行 Fedora Linux

使用Rails 3.2.9

添加到Gemfile：

跑了：

浏览到我的应用程序，单击使用 Browserid 登录按钮。得到以下错误：

没有路由匹配 [GET] "/auth/browser_id/callback"

我错过了什么？

我正在尝试将 Mozilla Persona (browserid) 集成到 Pyramid 应用程序中。登录流程为：

1. 用户可以通过单击登录按钮登录任何页面
2. 然后弹出一个显示登录表单
3. 当用户输入正确的登录名/密码时，弹出窗口对 Pyramid 视图进行 ajax 调用，该视图检查用户凭据，如果检查成功，则调用 Pyramid 记住函数
4. browserid javascript代码然后重新加载当前页面

现在我想处理一个新用户订阅 Web 应用程序的情况，并呈现一个新视图，要求提供更多详细信息（所需的用户名等）。

由于“记住”函数是由弹出窗口中的 ajax 调用调用的，因此我无法将用户重定向到“/newuser”页面。因此，每当记住的 browserid 在数据库中没有对应的用户时，每个视图都需要将新用户重定向到“/newuser” url。

有没有办法在调用视图来调用“new_user”视图之前拦截用户请求？或者也许我的身份验证方法根本不正确，我应该依赖另一种方法？

如果我想限制访问网站的电子邮件地址，使用 Persona 有什么好处？我必须以相同的方式管理我服务器上的授权电子邮件地址吗？缺少什么？

我觉得我在这里缺少一些基本的东西，但是找不到它。我只需要访问某人用来登录 Persona 的电子邮件地址。我正在寻找电子邮件地址，以便将其作为 Open Badges 的断言传递。

我在一个项目中使用 Mozilla Persona。我想在loggedInUser之后更新onlogin。但是loggedInUser是传递给的对象的属性navigator.id.watch()。 navigator.id.watch()被调用一次（在 AngularJS 服务中）。我应该再次调用它，传递完整的对象吗？好像不太对。我错了吗？=P

这是我的服务：