使用 Flask-Security 为每个用户提供唯一的 Salt

2024-02-03

在阅读了一些有关对密码加盐的信息后，似乎最好为每个用户使用唯一的盐。我正在努力实现 Flask-Security atm，从文档中看来，您只能设置全局盐：即 SECURITY_PASSWORD_SALT = 'thesalt'

问题：如何为每个密码制作唯一的盐？

Thanks!

编辑：从 Flask-Security 的文档中，我发现了这一点，这似乎再次表明该模块仅对开箱即用的所有密码使用单一盐。

flask_security.utils.get_hmac(password)
    Returns a Base64 encoded HMAC+SHA512 of the password signed with the salt 
    specified by SECURITY_PASSWORD_SALT.

是的，如果使用 bcrypt（以及其他方案，例如 des_crypt、pbkdf2_sha256、pbkdf2_sha512、sha256_crypt、sha512_crypt），Flask-Security 确实会按设计使用每用户盐。

“SECURITY_PASSWORD_SALT”的配置仅用于 HMAC 加密。如果您使用 bcrypt 作为散列算法，Flask-Security 使用 passlib 进行散列，并在散列过程中生成随机盐。第 268 期指出了这种混乱：https://github.com/mattupstate/flask-security/issues/268 https://github.com/mattupstate/flask-security/issues/268

可以在代码中验证，从 encrypt 走到 passlib：

flask_security/utils.py（第 143-151、39 和 269 行）

def encrypt_password(password):
   ...
   return _pwd_context.encrypt(signed)

_pwd_context = LocalProxy(lambda: _security.pwd_context)

Flask_security/core.py（269、244-251 和 18）

pwd_context=_get_pwd_context(app)

def _get_pwd_context(app):
    ...
    return CryptContext(schemes=schemes, default=pw_hash, deprecated=deprecated)

from passlib.context import CryptContext

最后来自：https://pythonhosted.org/passlib/password_hash_api.html#passlib.ifc.PasswordHash.encrypt https://pythonhosted.org/passlib/password_hash_api.html#passlib.ifc.PasswordHash.encrypt

请注意，每次调用 encrypt() 都会生成一个新的盐，

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用 Flask-Security 为每个用户提供唯一的 Salt 的相关文章

在 Python 中使用 Selenium 处理“接受 Cookie”弹出窗口

我一直在尝试用硒抓取这个房地产网站的一些信息但是当我访问该网站时我需要接受 cookie 才能继续这仅在机器人访问网站时发生而不是在我手动执行时发生当我尝试通过 xpath 或 id 查找相应的元素时正如我在手动检查页面时找到
从正在运行的 python 脚本检测优化标志是否为 -O 或 -OO

有时我想生成一个子进程其优化标志与启动父进程时使用的优化标志相同我可以使用类似的东西 optimize not debug 但这样我就可以匹配两者 O and OO flags 是否有一些 python 内部状态包含该信息经过一番深
为什么 .setGeometry() 不改变 QWidget 实例的大小？

我想使用 QWidget 更改 QPushButton 的大小 setGeometry https doc qt io qtforpython 5 PySide2 QtWidgets QWidget html PySide2 QtWidge
如何确定非阻塞套接字是否真正连接？

这个问题不仅限于Python 这是一个一般的套接字问题我有一个非阻塞套接字想要连接到一台可访问的机器在另一端该端口不存在为什么 select 仍然成功我预计会超时 sock send 因管道损坏而失败 select 之后如何确定
即使使用 .loc[row_indexer,col_indexer] = value 时也会设置 WithCopyWarning

这是我的代码中得到的行之一SettingWithCopyWarning value1 Total Population value1 Total Population replace to replace value 4 然后我将其更改为
如何使用Python将WebP图像转换为Gif？

我已经尝试过这个 from PIL import Image im Image open this webp im save that gif gif save all True 这给了我这个错误类型错误不支持的操作数类型 tuple
优化 Keras 以使用所有可用的 CPU 资源

好吧我真的不知道我在说什么所以请耐心听我说我正在使用 Theano 后端运行 Keras 以在 MNIST 图像上运行基本的神经网络目前只是一个教程过去我一直使用我的旧 HP 笔记本电脑因为我有 Windows 和 Ubunt
Paramiko - 使用私钥连接 - 不是有效的 OPENSSH 私钥/公钥文件

我正在尝试找到解决方案但无法理解我做错了什么在我的 Linux 服务器上我运行了以下命令 ssh keygen t rsa 这产生了一个id rsa and id rsa pub file 然后我将它们复制到本地并尝试运行以下代码 s
错误：permission_manager_qt.cpp(82) 不支持的权限类型：13

我正在开发具有内置浏览器功能的 python 代码 PyQt 5 13 import sys from PyQt5 QtCore import from PyQt5 QtGui import from PyQt5 QtWidgets imp
如何使用 python urllib 在 HTTP/1.1 中保持活力

现在我正在这样做 Python3 urllib url someurl headers HOST somehost Connection keep alive Accept Encoding gzip deflate opener urll
matplotlib matshow 标签

我一个月前开始使用 matplotlib 所以我仍在学习我正在尝试用 matshow 制作热图我的代码如下 data numpy array a reshape 4 4 cax ax matshow data interpolation
如何在python中检索aws批处理参数值？

流程 Dynamo DB gt Lambda gt 批处理如果将角色 arn 插入动态数据库它是从 lambda 事件中检索的然后使用submit job角色 arn 的 API 被传递为 parameters role arn ar
将 Pandas 列中的列表拆分为单独的列

这是我在 pandas 数据框中的特征列 Feature Cricket 82379 Kabaddi 255 Reality 4751 Cricket 15640 Wildlife 730 LiveTV 13 Football 4129
Django 在选择列表更改时创建毫无意义的迁移

我正在尝试使用可调用创建一个带有选择字段的模型以便 Django 在选择列表更改时不会创建迁移如中所述this https stackoverflow com questions 31788450 stop django from cr
conda-env list / conda info --envs 如何查找环境？

我一直在尝试 anaconda miniconda 因为我的用户使用随 miniconda 安装的结构生物学程序并且作者都没有 A 考虑到可能存在其他 miniconda 应用程序 B 他们的程序将在多用户环境中使用因此使用 Arch
select() 可以在 Windows 下使用 Python 中的文件吗？

我正在尝试在 Windows 下运行以下 python 服务器 An echo server that uses select to handle multiple clients at a time Entering any line o
Matplotlib Scatter - ValueError：RGBA 序列的长度应为 3 或 4

我正在尝试为我的功能绘制图表但不断收到此错误 ValueError RGBA sequence should have length 3 or 4 每当我只有 6 种形状时代码就可以完美运行但现在我将其增加到 10 种它就不起作用了
Airflow Python 单元测试？

我想为我们的 DAG 添加一些单元测试但找不到任何单元测试有 DAG 单元测试框架吗有一个端到端的测试框架存在但我猜它已经死了 https issues apache org jira browse AIRFLOW 79 https
来自 django 教程 was_published_recently.admin_order_field = 'pub_date'

From Django 教程 https www jetbrains com help pycharm 2017 1 creating and running your first django project html d28041e21
Django South - 将 null=True 字段转换为 null=False 字段

我的问题是转变的最佳做法是什么null True场变成null False使用 Django South 的字段具体来说我正在与ForeignKey 你应该先写一个数据迁移 http south aeracode org docs t

随机推荐

Git 分支 - HEAD 分支上的拉取请求也需要之前的分支提交

我来自 IBM RTC 所以我需要习惯 Git 我已经分叉了一个存储库在我的主分支上完成了几次提交并打开了一个拉取请求 Pull request original repository master lt my repository ma
如何在 C# 中将 Decimal 格式化为以编程方式控制的小数位数？

如何将数字格式化为固定的小数位数保留尾随零其中位数由变量指定 e g int x 3 Console WriteLine Math Round 1 2345M x 1 234 good Console WriteLine Math Ro
Keras 嵌入层在函数式 API 中具有可变长度

我有以下适用于可变长度输入的顺序模型 m Sequential m add Embedding len chars 4 name embedding m add Bidirectional LSTM 16 unit forget bias
将运输与 Ruby on Rails 集成

将运输报价添加到我的购物车的最佳方法是什么我网站的基本流程是 1 User selects products 2 User is shown cart 3 repeat 1 and 2 until User wants to pay 4
PostgreSQL：SELECT DISTINCT ON 表达式必须与初始 ORDER BY 表达式匹配

假设我有以下 PostgreSQL 表名为products CREATE TABLE IF NOT EXISTS mytable id serial NOT NULL PRIMARY KEY label VARCHAR 50 NOT NU
为什么我在二叉搜索树中找不到左和右？

我遇到以下代码片段的问题 using System using System Collections Generic using System Text namespace trees by firas class Program stat
使用$_REQUEST作为数据是错误的吗？

所以我已经编码了一点 2年了我有一个非常主观的问题使用 REQUEST作为数据是错误的吗顺便说一句这主要与身份验证有关如果您考虑数据出现的 3 种方式 REQUEST 它可以来自 cookie 表单或查询字符串现在我知道大
远程链接中奇怪的下划线参数

我使用 Rails3 JQuery 和 will paginate gem 来制作远程分页链接已知的解决方案是 pagination a live click function getScript this href return fal
无法加载文件 %CommonDir%\publish.tlb

每次我安装并尝试启动 Microsoft Visual Studio 2012 时都会收到以下弹出窗口其中包含以下消息无法加载文件 CommonDir publish tlb 由于找不到该文件尝试修复此情况失败请重新安装该程序我
儒略日期到常规日期的转换

如何使用 java API 将代表 2013 年 11 月 18 日的儒略日期 2456606 转换为字符串格式 18 11 2013 我尝试执行下面的代码但它没有给我正确的答案欢迎对以下代码进行任何更正 String j 245660
opencv VideoCapture 在线程中被阻塞

我需要一些有关在另一个线程中使用 opencv VideoCapture 的帮助当我使用视频截取 http docs opencv org modules highgui doc reading and writing images an
二维码怎么能存储这么多数据呢？

快速谷歌搜索结果显示 QR 码可以容纳近 3kb 8 位数据但这不就是用黑白点来表示位吗如果是这样的话代码上不可能有超过 20 000 个点所以我显然是误解了有人可以解释它是如何工作的吗电装波says http www de
接受 Rails 使用条款

在 Rails 应用程序中添加接受使用条款的检查的最佳方法是什么我似乎无法得到validates acceptance of工作得很好我在我的用户模型中添加了一个布尔值有必要吗然后有一个返回 true false 的复选框我觉得我
AS3 中的 URL 编码变量？

尝试通过传递变量时出现以下错误URLRequestMethod POST 错误错误 2101 传递给 URLVariables decode 的字符串必须是包含名称值对的 URL 编码查询字符串有没有字符串 URL 编码的方法 Act
如何根据背景图像而不是窗口浏览器来定位图像

我以前问过这个问题但似乎没有人明白我在说什么因为它是书面的所以我现在只花了 2 分 12 秒我在视频中说明了我的问题视频链接该问题的相关css代码 BackgroundImage position absolute width
加快 Visual Studio 2005 中的编译速度

对于主要包含 C 项目的解决方案在 Visual Studio 2005 中加快编译时间的最佳方法是什么除了预编译标头之外还有许多其他事情可能会减慢您的速度病毒检查软件可能会对构建产生严重影响如果您正在运行病毒检查程序请尝试将
k-means 的时间复杂度是多少？

我正在经历k means 维基百科页面 http en wikipedia org wiki K means clustering 根据算法我认为复杂度是O n k i n 总元素 k 簇迭代次数那么有人可以向我解释一下维基百科上的这个
没有 pyvenv.cfg 文件

我做了一个变量cfg waterot cfg然后创建一个新文件 waterot cfg 在 pycharm 中这会自动生成一个pyvenv cfg文件我不知道这是什么我的代码出现错误我删除了pyvenv cfg文件并更改自 cfg
getRootNav() 和 navCtrl() 方法之间的差异

你能告诉我以下两种方法有什么区别吗我应该在哪个时刻使用它 book ts this app getRootNav push FromBook bookId this data id this navCtrl push FromBook b
使用 Flask-Security 为每个用户提供唯一的 Salt

在阅读了一些有关对密码加盐的信息后似乎最好为每个用户使用唯一的盐我正在努力实现 Flask Security atm 从文档中看来您只能设置全局盐即 SECURITY PASSWORD SALT thesalt 问题如何为每个密码

使用 Flask-Security 为每个用户提供唯一的 Salt

使用 Flask-Security 为每个用户提供唯一的 Salt 的相关文章

随机推荐

热门标签