[英]How to encrypt password using Python Flask-Security using bcrypt?
我正在嘗試在Flask-Security的文檔中使用標准的基本示例,並使其能夠正常工作,只是密碼以明文形式存儲。
我知道這一行:
user_datastore.create_user(email='matt@nobien.net', password='password')
我可以更改為:
user_datastore.create_user(email='matt@nobien.net', password=bcrypt.hashpw('password', bcrypt.gensalt()))
但是我認為Flask-Security負責(雙重?)鹽腌加密,如果我添加了app.config ['SECURITY_REGISTERABLE'] = True,並且這次正確地對數據庫進行了/ register加密。
我知道我缺少一些簡單的東西,但不太了解。
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, UserMixin, RoleMixin, login_required
import bcrypt
# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECRET_KEY'] = 'super-secret'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///login.db'
app.config['SECURITY_PASSWORD_HASH'] = 'bcrypt'
app.config['SECURITY_PASSWORD_SALT'] = b'$2b$12$wqKlYjmOfXPghx3FuC3Pu.'
# Create database connection object
db = SQLAlchemy(app)
# Define models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
# Create a user to test with
@app.before_first_request
def create_user():
try:
db.create_all()
user_datastore.create_user(email='matt@nobien.net', password='password')
db.session.commit()
except:
db.session.rollback()
print("User created already...")
# Views
@app.route('/')
@login_required
def home():
return render_template('index.html')
if __name__ == '__main__':
app.run()
除了存儲密碼,您還可以使用python的本機裝飾器存儲密碼的哈希版本,並出於安全目的使密碼不可讀,如下所示:
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password_hash = db.Column(db.String(128))
@property
def password(self):
raise AttributeError('password not readable')
@password.setter
def password(self, password):
self.password_hash = bcrypt.hashpw('password', bcrypt.gensalt()))
# or whatever other hashing function you like.
您應該在實現的bcrypt技術中內嵌驗證密碼功能:
def verify_password(self, password)
return some_check_hash_func(self.password_hash, password)
然后,您可以使用通常的方式創建用戶:
User(email='a@example.com', password='abc')
並且您的數據庫應使用散列的password_hash
而不是password
屬性填充。
沒錯, create_user()
不會對密碼進行哈希處理。 這是一種較低級別的方法 。 如果您能夠改用registerable.register_user()
,則它將為您哈希密碼。 但是,如果您想直接使用create_user()
,則只需在調用密碼之前對其進行加密:
from flask import request
from flask_security.utils import encrypt_password
@bp.route('/register/', methods=['GET', 'POST'])
@anonymous_user_required
def register():
form = ExtendedRegistrationForm(request.form)
if form.validate_on_submit():
form_data = form.to_dict()
form_data['password'] = encrypt_password(form_data['password'])
user = security.datastore.create_user(**form_data)
security.datastore.commit()
# etc.
我不建議在User對象上覆蓋密碼哈希,因為Flask-Security使用SECURITY_PASSWORD_HASH
設置存儲密碼哈希算法。 ( 默認為bcrypt
,因此,如果您不想這樣做,則無需顯式設置。)Flask-Security除了使用您提供的SECURITY_PASSWORD_SALT
之外,還使用HMAC來對密碼加鹽 ,因此只需使用例如,帶有bcrypt的passlib 不會導致Flask-Security正確匹配的哈希 。 您也許可以通過將Flask-Security切入循環並自己完成所有密碼創建和比較任務來避開此事,但這有什么意義呢? 您正在使用安全性庫,讓它為您做安全性。 他們已經修復了您必然會遇到的錯誤。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.