← Back to branch summary

~bzr-pqm/bzr/bzr.dev

« back to all changes in this revision

Viewing changes to doc/developers/authentication-ring.txt

  • Committer: Canonical.com Patch Queue Manager
  • Date: 2010-09-01 08:02:42 UTC
  • mfrom: (5390.3.3 faster-revert-593560)
  • Revision ID: pqm@pqm.ubuntu.com-20100901080242-esg62ody4frwmy66
(spiv) Avoid repeatedly calling self.target.all_file_ids() in
 InterTree.iter_changes. (Andrew Bennetts)

Show diffs side-by-side

added added

removed removed

Lines of Context:
doc/developers/authentication-ring.txt
61
61
This specification describes a way to provide user and passwords to bzr while
62
62
storing them in a relatively safe way.
63
63
 
64
 
Note that SSH servers can be configured to use keys instead of (``user``,
 
64
Note that ssh servers can be configured to use keys instead of (``user``,
65
65
``password``) and, when used with appropriate agents, provide the same kind of
66
 
comfort this specification aims to provide for all other schemes. Since SSH 
 
66
comfort this specification aims to provide for all other schemes. Since ssh
67
67
agents provide a safer way to secure the passwords, this specification is
68
68
restricted to providing ``user`` but does not provide ``password`` when used
69
 
for SSH.
 
69
for ssh.
70
70
 
71
71
Authentication definitions
72
72
--------------------------
77
77
1. user and password
78
78
 
79
79
``FTP`` and ``SFTP`` needs a (``user``, ``password``) to authenticate against a
80
 
``host`` (SFTP can use SSH keys too, but we don't talk about that in this
81
 
specification as SSH agents provide a better solution).
 
80
``host`` (SFTP can use ssh keys too, but we don't talk about that in this
 
81
specification as ssh agents provide a better solution).
82
82
 
83
83
2. user, realm and password
84
84
 
115
115
 
116
116
  * ``path``: can be empty (FTP or SFTP will never use it),
117
117
 
118
 
  * ``user``: can be empty (``bzr`` will defaults to Python's
119
 
    ``getpass.get_user()`` for FTP, SFTP and SSH),
 
118
  * ``user``: can be empty (``bzr`` will defaults to python's
 
119
    ``getpass.get_user()`` for FTP, SFTP and ssh),
120
120
 
121
121
  * ``password``: can be empty (for security reasons, a user may use the
122
122
    definitions without storing the passwords but want to be prompted ; or the
158
158
 
159
159
Encoding passwords in ``base64``, while weak, provides protection against
160
160
accidental reading (if an administrator have to look into the file, he will not
161
 
see the passwords in clear).
 
161
see the passwords in clear).(Not implemented yet).
162
162
 
163
163
This specification intends to ease the authentication providing, not to secure
164
164
it in the best possible way.
266
266
        scheme=https
267
267
        host=home.net
268
268
        user=joe
269
 
        # Obtain the base64 encoded password by running 'echo -n "secret-pass" | base64'
270
269
        password='c2VjcmV0LXBhc3M='
271
270
        password_encoding=base64
272
271
        verify_certificates=no # Still searching a free certificate provider
304
303
  * source hosting provider declaring sub-domains for each project::
305
304
 
306
305
        [sfnet domain]
307
 
        # we use SFTP, but SSH is the scheme used for authentication
 
306
        # we use sftp, but ssh is the scheme used for authentication
308
307
        scheme=ssh
309
308
        # The leading '.' ensures that 'sf.net' alone doesn't match
310
309
        host=.sf.net
348
347
* No assumptions should be made about the clients of this service
349
348
  (i.e. Transport is the primary target but plugins must be able to use it as
350
349
  well, the definitions used: (``scheme, host, [port,] path``) are general
351
 
  enough to described credentials for ``svn`` servers or LaunchPad XML-RPC
 
350
  enough to described credentials for ``svn`` servers or LaunchPad xmlrpc
352
351
  calls).
353
352
 
354
353
* Policies regarding default users may be taken into account by the
362
361
  a password.
363
362
 
364
363
* As this specification proposes a matching between some credentials
365
 
  definitions and real URLs, the implementation provides an optional UI
 
364
  definitions and real urls, the implementation provides an optional UI
366
365
  feedback about which credential definition is used. Using ``-Dauth`` will
367
366
  output some traces in the ``.bzr.log`` file metionning the sections
368
367
  used. This allows the user to validate his definitions.
393
392
    * plugins can be written and registered to handle the associated
394
393
      ``password_encoding``.
395
394
 
396
 
  * Could it be possible to encode the whole authentication file with an SSH key
 
395
  * Could it be possible to encode the whole authentication file with a ssh key
397
396
    ?
398
397
 
399
398
    * yes and if the user configure a ssh-agent it will not be queried for