我试图使用文档中的标准基本示例来实现Flask安全性,并使其正常工作,但密码以明文形式存储。在
我知道这句话:
user_datastore.create_user(email='matt@nobien.net', password='password')
我可以改成:
^{pr2}$但我想烧瓶保安会处理好的(双人?)加盐加密如果我加上应用程序配置['SECURITY_REGISTERABLE']=True,然后转到/注册数据库,这次已正确加密。在
我知道我错过了一些简单的事情,但不太明白在哪里。。在
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, UserMixin, RoleMixin, login_required
import bcrypt
# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECRET_KEY'] = 'super-secret'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///login.db'
app.config['SECURITY_PASSWORD_HASH'] = 'bcrypt'
app.config['SECURITY_PASSWORD_SALT'] = b'$2b$12$wqKlYjmOfXPghx3FuC3Pu.'
# Create database connection object
db = SQLAlchemy(app)
# Define models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
# Create a user to test with
@app.before_first_request
def create_user():
try:
db.create_all()
user_datastore.create_user(email='matt@nobien.net', password='password')
db.session.commit()
except:
db.session.rollback()
print("User created already...")
# Views
@app.route('/')
@login_required
def home():
return render_template('index.html')
if __name__ == '__main__':
app.run()
你说得对,
create_user()
不会散列密码。它是一个lower-level method。如果您能够使用registerable.register_user()
,那么它将为您散列密码。但是如果您想直接使用create_user()
,那么只需在调用密码之前对其进行加密:我不建议重写User对象上的密码哈希,因为Flask Security使用},所以如果不想的话,您不需要显式地设置它。)Flask Security uses HMAC to salt the password,除了您提供的
SECURITY_PASSWORD_HASH
设置来存储密码哈希算法。(它是defaults到{SECURITY_PASSWORD_SALT
之外,只需使用passlib和bcryptwon't result in a hash that Flask-Security will correctly match来散列密码。你也许可以绕过这一步,把烧瓶的安全性从循环中去掉,自己去做所有的密码创建和比较任务……但这有什么意义呢?你在使用一个安全库,让它为你做安全保护。他们已经修复了你一定会遇到的错误。在不用存储密码,您可以使用python的本机修饰符存储密码的散列版本,并出于安全目的使密码不可读,如下所示:
您应该在实现的bcrypt技术中添加一个verify password函数:
^{pr2}$然后您可以创建一个用户:
您的数据库应该填充一个散列的
password_hash
,而不是password
属性。在相关问题 更多 >
编程相关推荐