blame | history | patch | commit | commitdiff | ignore whitespace
Tres Seaver
2015-03-18 e4b71bb12d7eaf239469e6e1a4a14a1d9d268ca6 
 CHANGES.txt


@@ -1,10 +1,113 @@


==================


repoze.who changes


==================


``repoze.who`` Changelog


========================




1.0.12 (2009/4/19)


==================


1.0.19 (unreleased)


-------------------




- TBD




1.0.18 (2009-11-05)


-------------------




- Issue #104:  AuthTkt plugin was passing an invalid cookie value in


  headers from ``forget``, and was not setting the ``Max-Age`` and 


  ``Expires`` attributes of those cookies.




1.0.17 (2009-11-05)


-------------------




- Fixed the ``repoze.who.plugins.form.make_plugin`` factory's ``formcallable``


  argument handling, to allow passing in a dotted name (e.g., from a config


  file).




1.0.16 (2009-11-04)


-------------------




- Exposed ``formcallable`` argument for ``repoze.who.plugins.form.FormPlugin``


  to the callers of the ``repoze.who.plugins.form.make_plugin`` factory.


  Thanks to Roland Hedburg for the report.




- Fixed an issue that caused the following symptom when using the


  ini configuration parser::




   TypeError: _makePlugin() got multiple values for keyword argument 'name'




  See http://bugs.repoze.org/issue92 for more details.  Thanks to vaab


  for the bug report and initial fix.






1.0.15 (2009-06-25)


-------------------




- If the form post value ``max_age`` exists while in the ``identify``


  method is handling the ``login_handler_path``, pass the max_age


  value in the returned identity dictionary as ``max_age``.  See the


  below bullet point for why.




- If the ``identity`` dict passed to the ``auth_tkt`` ``remember``


  method contains a ``max_age`` key with a string (or integer) value,


  treat it as a cue to set the ``Max-Age`` and ``Expires`` headers in


  the returned cookies.  The cookie ``Max-Age`` is set to the value


  and the ``Expires`` is computed from the current time.






1.0.14 (2009-06-17)


-------------------




- Fix test breakage on Windows.  See http://bugs.repoze.org/issue79 .




- Documented issue with using ``include_ip`` setting in the ``auth_tkt``


  plugin.  See http://bugs.repoze.org/issue81 .




- Added 'passthrough_challenge_decider', which avoids re-challenging 401


  responses which have been "pre-challenged" by the application.




- One-hundred percent unit test coverage.




- Add ``timeout`` and ``reissue_time`` arguments to the auth_tkt


  identifier plugin, courtesty of Paul Johnston.




- Add a ``userid_checker`` argument to the auth_tkt identifier plugin,


  courtesty of Gustavo Narea.




  If ``userid_checker`` is provided, it must be a dotted Python name


  that resolves to a function which accepts a userid and returns a


  boolean True or False, indicating whether that user exists in a


  database.  This is a workaround.  Due to a design bug in repoze.who,


  the only way who can check for user existence is to use one or more


  IAuthenticator plugin ``authenticate`` methods.  If an


  IAuthenticator's ``authenticate`` method returns true, it means that


  the user exists.  However most IAuthenticator plugins expect *both*


  a username and a password, and will return False unconditionally if


  both aren't supplied.  This means that an authenticator can't be


  used to check if the user "only" exists.  The identity provided by


  an auth_tkt does not contain a password to check against.  The


  actual design bug in repoze.who is this: when a user presents


  credentials from an auth_tkt, he is considered "preauthenticated".


  IAuthenticator.authenticate is just never called for a


  "preauthenticated" identity, which works fine, but it means that the


  user will be considered authenticated even if you deleted the user's


  record from whatever database you happen to be using.  However, if


  you use a userid_checker, you can ensure that a user exists for the


  auth_tkt supplied userid.  If the userid_checker returns False, the


  auth_tkt credentials are considered "no good".






1.0.13 (2009-04-24)


-------------------




- Added a paragraph to ``IAuthenticator`` docstring, documenting that plugins


  are allowed to add keys to the ``identity`` dictionary (e.g., to save a


  second database query in an ``IMetadataProvider`` plugin).




- Patch supplied for issue #71 (http://bugs.repoze.org/issue71)


  whereby a downstream app can return a generator, relying on an


  upstream component to call start_response.  We do this because the


  challenge decider needs the status and headers to decide what to do.






1.0.12 (2009-04-19)


-------------------


- auth_tkt plugin tried to append REMOTE_USER_TOKENS data to


  existing tokens data returned by auth_tkt.parse_tkt; this was


  incorrect; just overwrite.


@@ -12,8 +115,9 @@


- Extended auth_tkt plugin factory to allow passing secret in a separate


  file from the main config file.  See http://bugs.repoze.org/issue40 .




1.0.11 (2009/4/10)


==================




1.0.11 (2009-04-10)


-------------------




- Fix auth_tkt plugin; cookie values are now quoted, making it possible


  to put spaces and other whitespace, etc in usernames. (thanks to Michael


@@ -22,15 +126,17 @@


- Fix corner case issue of an exception raised when attempting to log


  when there are no identifiers or authenticators.




1.0.10 (2009/1/23)


==================




1.0.10 (2009-01-23)


-------------------




- The RedirectingFormPlugin now passes along SetCookie headers set


  into the response by the application within the NotFound response


  (fixes TG2 "flash" issue).




1.0.9 (2008/12/18)


==================




1.0.9 (2008-12-18)


------------------




- The RedirectingFormPlugin now attempts to find a header named


  ``X-Authentication-Failure-Reason`` among the response headers set


@@ -42,8 +148,9 @@


  this header and subsequently display the reason in the login form


  rendered as a result of the challenge.




1.0.8 (2008/12/13)


==================




1.0.8 (2008-12-13)


------------------




- The ``PluggableAuthenticationMiddleware`` constructor accepts a


  ``log_stream`` argument, which is typically a file.  After this


@@ -54,23 +161,26 @@


  ``log_stream`` argument is a PEP 333 Logger object, the


  ``log_level`` argument is ignored.




1.0.7 (2008/08/28)


==================




1.0.7 (2008-08-28)


------------------




- ``repoze.who`` and ``repoze.who.plugins`` were not added to the


  ``namespace_packages`` list in setup.py, potentially making 1.0.6 a


  brownbag release, given that making these packages namespace


  packages was the only reason for its release.




1.0.6 (2008/08/28)


==================




1.0.6 (2008-08-28)


------------------




- Make repoze.who and repoze.who.plugins into namespace packages


  mainly so we can allow plugin authors to distribute packages in the


  repoze.who.plugins namespace.




1.0.5 (2008/08/23)


==================




1.0.5 (2008-08-23)


------------------




- Fix auth_tkt plugin to set the same cookies in its ``remember``


  method that it does in its ``forget`` method.  Previously, logging


@@ -82,8 +192,9 @@


  and includes a Location header will cause a redirect to the value of


  the Location header.




1.0.4 (2008/08/22)


===================




1.0.4 (2008-08-22)


------------------




- Added a key to the '[general]' config section: ``remote_user_key``.


  If you use this key in the config file, it tells who to 1) not


@@ -98,8 +209,9 @@


- Allowed 'cookie_path' argument to InsecureCookiePlugin (and config


  constructor).  Thanks to Gustavo Narea.




1.0.3 (2008/08/16)


==================




1.0.3 (2008-08-16)


------------------




- A bug in the middleware's ``authenticate`` method made it impossible


  to authenticate a user with a userid that was null (e.g. 0, False),


@@ -108,8 +220,9 @@


- Applied patch from Olaf Conradi which logs an error when an invalid


  filename is passed to the HTPasswdPlugin.




1.0.2 (2008/06/16)


==================




1.0.2 (2008-06-16)


------------------




- Fix bug found by Chris Perkins: the auth_tkt plugin's "remember"


  method didn't handle userids which are Python "long" instances


@@ -133,15 +246,17 @@


     predicate = my.module:some_predicate


     some_option = a value




1.0.1


=====




1.0.1 (2008-05-24)


------------------




- Remove dependency-link to dist.repoze.org to prevent easy_install


  from inserting that path into its search paths (the dependencies are


  available from PyPI).




1.0


===




1.0 (2008-05-04)


-----------------




- The plugin at plugins.form.FormPlugin didn't redirect properly after


  collecting identification information.  Symptom: a downstream app


@@ -157,17 +272,16 @@




- Removed fossilized 'who_conf' argument from plugin factory functions.




- Added ConfigParser-based WhoConfig, implementing the spec outlined


  at


- Added ConfigParser-based WhoConfig, implementing the spec outlined at


  http://www.plope.com/static/misc/sphinxtest/intro.html#middleware-configuration-via-config-file,


  with the following changes:




o "Bare" plugins (requiring no configuration options) may be specified


  - "Bare" plugins (requiring no configuration options) may be specified


     as either egg entry points (e.g., 'egg:distname#entry_point_name') or


     as dotted-path-with-colon (e.g., 'dotted.name:object_id').




o Therefore, the separator between a plugin and its classifier is now


  a semicolon, rather than a colon. E.g.::


  - Therefore, the separator between a plugin and its classifier is now


    a semicolon, rather than a colon. E.g.::




     [plugins:id_plugin]


     use = egg:another.package#identify_with_frobnatz


@@ -179,14 +293,16 @@


       dotted.name:identifier


       id_plugin






0.9.1 (2008-04-27)


==================


------------------




- Fix auth_tkt plugin to be able to encode and decode integer user


  ids.






0.9 (2008-04-01)


================


----------------




- Fix bug introduced in FormPlugin in 0.8 release (rememberer headers


  not set).


@@ -219,8 +335,9 @@


  implementation for details.  It is similar to the


  "make_authenticator_plugin" helper.






0.8 (2008-03-27)


================


----------------




- Add a RedirectingFormIdentifier plugin.  This plugin is willing to


  redirect to an external (or downstream application) login form to


@@ -237,8 +354,9 @@


  "normal" downstream application.  This feature was added to more


  simply support the redirecting form identifier plugin.






0.7 (2008-03-26)


================


----------------




- Change the IMetadataProvider interface: this interface used to have


  a "metadata" method which returned a dictionary.  This method is not


@@ -256,8 +374,9 @@


   retrieved from the identity via identity['repoze.who.userid'] for


   metadata plugins that rely on that value.






0.6 (2008-03-20)


================


----------------




- Renaming: repoze.pam is now repoze.who




@@ -265,8 +384,9 @@




- Add IMetadataProvider plugin type.  Chris says 'Whit rules'.






0.5 (2008-03-09)


================


----------------




- Allow "remote user key" (default: REMOTE_USER) to be overridden


  (pass in remote_user_key to middleware constructor).


@@ -313,26 +433,28 @@


  username or password within the application, but we don't want to


  force him to log in again after he does so.






0.4 (03-07-2008)


================


----------------




- Allow plugins to specify a classifiers list per interface (instead


  of a single classifiers list per plugin).






0.3 (03-05-2008)


================


----------------




- Make SQLAuthenticatorPlugin's default_password_compare use hexdigest


  sha instead of base64'ed binary sha for simpler conversion.






0.2 (03-04-2008)


================


----------------




- Added SQLAuthenticatorPlugin (see plugins/sql.py).






0.1 (02-27-2008)


================


----------------




- Initial release (no configuration file support yet).