Fatal编程技术网
  • python/
  • 如何使用Python加密密码?如何使用bcrypt使用Python安全性?

如何使用Python加密密码?如何使用bcrypt使用Python安全性?

python flask

如何使用Python加密密码?如何使用bcrypt使用Python安全性?,python,flask,flask-security,Python,Flask,Flask Security,我试图在文档中使用Flask Security的标准基本示例,并使其工作,但密码以明文形式存储 我知道这句话: user_datastore.create_user(email='matt@nobien.net', password='password') 我可以改成: user_datastore.create_user(email='matt@nobien.net', password=bcrypt.hashpw('password', bcrypt.gensalt())) 但我认为Fl

我试图在文档中使用Flask Security的标准基本示例,并使其工作,但密码以明文形式存储

我知道这句话:

user_datastore.create_user(email='matt@nobien.net', password='password')
我可以改成:

user_datastore.create_user(email='matt@nobien.net', password=bcrypt.hashpw('password', bcrypt.gensalt()))
但我认为Flask Security负责(双重?)盐渍加密,如果我添加app.config['Security_REGISTERABLE']=True并转到/注册数据库,这次就正确加密了

我知道我遗漏了一些简单的东西,但不太明白在哪里

from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, UserMixin, RoleMixin, login_required
import bcrypt

# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECRET_KEY'] = 'super-secret'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///login.db'
app.config['SECURITY_PASSWORD_HASH'] = 'bcrypt'
app.config['SECURITY_PASSWORD_SALT'] = b'$2b$12$wqKlYjmOfXPghx3FuC3Pu.'

# Create database connection object
db = SQLAlchemy(app)

# Define models
roles_users = db.Table('roles_users',
        db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
        db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))

class Role(db.Model, RoleMixin):
    id = db.Column(db.Integer(), primary_key=True)
    name = db.Column(db.String(80), unique=True)
    description = db.Column(db.String(255))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password = db.Column(db.String(255))
    active = db.Column(db.Boolean())
    confirmed_at = db.Column(db.DateTime())
    roles = db.relationship('Role', secondary=roles_users,
                            backref=db.backref('users', lazy='dynamic'))

# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)

# Create a user to test with
@app.before_first_request
def create_user():
    try:
        db.create_all()
        user_datastore.create_user(email='matt@nobien.net', password='password')
        db.session.commit()
    except:
        db.session.rollback()
        print("User created already...")

# Views
@app.route('/')
@login_required
def home():
    return render_template('index.html')

if __name__ == '__main__':
    app.run()
您可以使用python的本机decorators来存储哈希版本的密码,而不是存储密码,并出于安全目的使密码不可读,如下所示:

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password_hash = db.Column(db.String(128))

    @property
    def password(self):
        raise AttributeError('password not readable')
    @password.setter
    def password(self, password):
        self.password_hash = bcrypt.hashpw('password', bcrypt.gensalt()))
        # or whatever other hashing function you like.
您应该添加一个与您实现的bcrypt技术内联的验证密码函数:

    def verify_password(self, password)
        return some_check_hash_func(self.password_hash, password)
然后,您可以创建一个用户,使用通常的:

User(email='a@example.com', password='abc')
您的数据库应该使用散列的
password\u hash
而不是
password
属性填充。

没错,
create\u user()
不会散列密码。这是一个好主意。如果您能够使用
registerable.register\u user()
,则它将为您散列密码。但是,如果您想直接使用
create_user()
,则只需在调用密码之前加密密码即可:

from flask import request
from flask_security.utils import encrypt_password

@bp.route('/register/', methods=['GET', 'POST'])
@anonymous_user_required
def register():
    form = ExtendedRegistrationForm(request.form)

    if form.validate_on_submit():
        form_data = form.to_dict()
        form_data['password'] = encrypt_password(form_data['password'])
        user = security.datastore.create_user(**form_data)
        security.datastore.commit()

    # etc.
我不建议覆盖用户对象上的密码散列,因为Flask Security使用
Security\u password\u HASH
设置来存储密码散列算法。(将其设置为
bcrypt
,因此如果您不想设置,则无需显式设置。)除了您提供的
Security\u PASSWORD\u SALT
之外,您还可以使用例如passlib和bcrypt对密码进行散列。您可以通过将Flask安全性从循环中删除,并自己完成所有密码创建和比较任务来避开这一步……但这有什么意义呢?你在使用一个安全库,让它为你做安全保护。他们已经修复了您一定会遇到的错误。

我不确定您的问题是什么,但bcrypt不加密密码。密码被正确地散列存储,这是一个重要的区别。加密数据可以解密;加密散列被设计为不可逆的。而且,这些散列的输出大小是可预测的,对于空字符串和整个战争与和平文本也是一样的,这意味着在一个固定大小的数据库列中很容易存储任意大的密码散列。好的,我现在理解了这个术语,但它没有回答为什么密码以明文形式存储在数据库中。