我需要在我的 GAE/python2.7 应用程序中实现密码存储。我已经实现了 cookie 进行授权,我已经有了帐户/用户模型,并且我已经通过第三方进行了身份验证。现在我需要通过密码添加身份验证(客户请求)。
我希望安全地存储密码。我已经确定了几个选项(如下),这似乎很合理,但我以前从未实现过密码存储,所以我不知道我不知道什么。我宁愿避免问题,也不愿等待问题出现。
我的问题是:这是 GAE 的最佳实践吗?如果不是,那是什么?
请注意,我只是在寻找一种在存储之前对密码进行哈希处理并进行比较的方法。我不需要全栈用户模块。
我已经评论过上一个问题 https://stackoverflow.com/questions/1020736/custom-authentication-in-google-app-engine-python/1020831#1020831这很有帮助,但并不能直接解决我的问题。
选项:
-
Use Django https://github.com/django/django/blob/stable/1.4.x/django/contrib/auth/hashers.py。就像是
import django.contrib.auth.hashers as foo
to_store_in_db = foo.make_password(conforming_password)
# later
passes = foo.check_password(entered_password, password_from_db)
(我们目前不在我们的应用程序中使用 Django,因此我们可以使用我们喜欢的任何一个,但我建议使用 1.4,因为它是 GAE 中最新可用的版本,而不是“最新”的移动目标)
-
Use webapp2_extras.security http://webapp-improved.appspot.com/api/webapp2_extras/security.html#module-webapp2_extras.security- 与上面类似,但是使用
generate_password_hash() #Seems like it only supports md5/sha1
check_password_hash()
thanks
tom
有一个内置函数专门用于此目的:https://docs.python.org/2/library/hashlib.html#key-derivation-function https://docs.python.org/2/library/hashlib.html#key-derivation-function.
>>> import hashlib, binascii
>>> dk = hashlib.pbkdf2_hmac('sha256', b'password', b'salt', 100000)
>>> binascii.hexlify(dk)
b'0394a2ede332c9a13eb82e9b24631604c31df978b4e2f0fbd2c549944f9d79a5'
其中盐应该是与密码一起存储在数据库中的随机字符串。这使用sha256对于这个目的来说这似乎已经足够好了。
获得好的(安全随机的)sald 可能是一个问题,但在较新版本的 GAE 上,您可以指定 pycrypto 依赖项,并使用:
from Crypto.Random import get_random_bytes
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
