提示:原网页已由神马搜索转码, 内容由www.jb51.net提供.

网站首页网页制作网络编程脚本专栏脚本下载更多导航↓数据库服务器电子书籍操作系统网站运营平面设计

您的位置：首页→ 脚本专栏→ python→ Django 密码存储

Django密码存储策略分析

更新时间：2020年01月09日 10:39:49 作者：蓝绿色~菠菜

这篇文章主要介绍了Django密码存储策略分析，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

一、源码分析

Django 发布的 1.4 版本中包含了一些安全方面的重要提升。其中一个是使用 PBKDF2 密码加密算法代替了 SHA1 。另外一个特性是你可以添加自己的密码加密方法。

Django 会使用你提供的第一个密码加密方法（在你的 setting.py 文件里要至少有一个方法）

PASSWORD_HASHERS = [
  'django.contrib.auth.hashers.PBKDF2PasswordHasher',
  'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
  'django.contrib.auth.hashers.Argon2PasswordHasher',
  'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
  'django.contrib.auth.hashers.BCryptPasswordHasher',
]

我们先一睹自带的PBKDF2PasswordHasher加密方式。

class BasePasswordHasher(object):
  """
  Abstract base class for password hashers
  When creating your own hasher, you need to override algorithm,
  verify(), encode() and safe_summary().
  PasswordHasher objects are immutable.
  """
  algorithm = None
  library = None

  def _load_library(self):
    if self.library is not None:
      if isinstance(self.library, (tuple, list)):
        name, mod_path = self.library
      else:
        name = mod_path = self.library
      try:
        module = importlib.import_module(mod_path)
      except ImportError:
        raise ValueError("Couldn't load %s password algorithm "
                 "library" % name)
      return module
    raise ValueError("Hasher '%s' doesn't specify a library attribute" %
             self.__class__)

  def salt(self):
    """
    Generates a cryptographically secure nonce salt in ascii
    """
    return get_random_string()

  def verify(self, password, encoded):
    """
    Checks if the given password is correct
    """
    raise NotImplementedError()

  def encode(self, password, salt):
    """
    Creates an encoded database value
    The result is normally formatted as "algorithm$salt$hash" and
    must be fewer than 128 characters.
    """
    raise NotImplementedError()

  def safe_summary(self, encoded):
    """
    Returns a summary of safe values
    The result is a dictionary and will be used where the password field
    must be displayed to construct a safe representation of the password.
    """
    raise NotImplementedError()


class PBKDF2PasswordHasher(BasePasswordHasher):
  """
  Secure password hashing using the PBKDF2 algorithm (recommended)
  Configured to use PBKDF2 + HMAC + SHA256.
  The result is a 64 byte binary string. Iterations may be changed
  safely but you must rename the algorithm if you change SHA256.
  """
  algorithm = "pbkdf2_sha256"
  iterations = 36000
  digest = hashlib.sha256

  def encode(self, password, salt, iterations=None):
    assert password is not None
    assert salt and '$' not in salt
    if not iterations:
      iterations = self.iterations
    hash = pbkdf2(password, salt, iterations, digest=self.digest)
    hash = base64.b64encode(hash).decode('ascii').strip()
    return "%s$%d$%s$%s" % (self.algorithm, iterations, salt, hash)

  def verify(self, password, encoded):
    algorithm, iterations, salt, hash = encoded.split('$', 3)
    assert algorithm == self.algorithm
    encoded_2 = self.encode(password, salt, int(iterations))
    return constant_time_compare(encoded, encoded_2)

  def safe_summary(self, encoded):
    algorithm, iterations, salt, hash = encoded.split('$', 3)
    assert algorithm == self.algorithm
    return OrderedDict([
      (_('algorithm'), algorithm),
      (_('iterations'), iterations),
      (_('salt'), mask_hash(salt)),
      (_('hash'), mask_hash(hash)),
    ])

  def must_update(self, encoded):
    algorithm, iterations, salt, hash = encoded.split('$', 3)
    return int(iterations) != self.iterations

  def harden_runtime(self, password, encoded):
    algorithm, iterations, salt, hash = encoded.split('$', 3)
    extra_iterations = self.iterations - int(iterations)
    if extra_iterations > 0:
      self.encode(password, salt, extra_iterations)

正如你看到那样，你必须继承自BasePasswordHasher，并且重写 verify() , encode() 以及 safe_summary() 方法。

Django 是使用 PBKDF 2算法与36,000次的迭代使得它不那么容易被暴力破解法轻易攻破。密码用下面的格式储存：

algorithm$number of iterations$salt$password hash”

例：pbkdf2_sha256$36000$Lx7auRCc8FUI$eG9lX66cKFTos9sEcihhiSCjI6uqbr9ZrO+Iq3H9xDU=

二、自定义密码加密方法

1、在settings.py中加入自定义的加密算法：

PASSWORD_HASHERS = [
  'myproject.hashers.MyMD5PasswordHasher', 
  'django.contrib.auth.hashers.PBKDF2PasswordHasher',
  'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
  'django.contrib.auth.hashers.Argon2PasswordHasher',
  'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
  'django.contrib.auth.hashers.BCryptPasswordHasher',
]

2、再来看MyMD5PasswordHasher，这个是我自定义的加密方式，就是基本的md5，而django的MD5PasswordHasher是加盐的：

 from django.contrib.auth.hashers import BasePasswordHasher,MD5PasswordHasher
 from django.contrib.auth.hashers import mask_hash
 import hashlib

 class MyMD5PasswordHasher(MD5PasswordHasher):
   algorithm = "mymd5"

   def encode(self, password, salt):
     assert password is not None
     hash = hashlib.md5(password).hexdigest().upper()
     return hash

   def verify(self, password, encoded):
     encoded_2 = self.encode(password, '')
     return encoded.upper() == encoded_2.upper()

   def safe_summary(self, encoded):
     return OrderedDict([
         (_('algorithm'), algorithm),
         (_('salt'), ''),
         (_('hash'), mask_hash(hash)),
         ])

之后可以在数据库中看到，密码确实使用了自定义的加密方式。

3、修改认证方式

AUTHENTICATION_BACKENDS = (
  'framework.mybackend.MyBackend', #新加
  'django.contrib.auth.backends.ModelBackend',
  'guardian.backends.ObjectPermissionBackend',
)

4、再来看自定义的认证方式

framework.mybackend.py:
 import hashlib
 from pro import models
 from django.contrib.auth.backends import ModelBackend

 class MyBackend(ModelBackend):
   def authenticate(self, username=None, password=None):
     try:
       user = models.M_User.objects.get(username=username)
       print user
     except Exception:
       print 'no user'
       return None
     if hashlib.md5(password).hexdigest().upper() == user.password:
       return user
     return None

   def get_user(self, user_id):
     try:
       return models.M_User.objects.get(id=user_id)
     except Exception:
       return None

当然经过这些修改后最终的安全性比起django自带的降低很多，但是需求就是这样的，必须满足。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Django中密码的加密、验密、解密操作

Django通用类视图实现忘记密码重置密码功能示例

Django实现发送邮件找回密码功能

Django密码系统实现过程详解

django中账号密码验证登陆功能的实现方法

Django管理员账号和密码忘记的完美解决方法

Django 忘记管理员或忘记管理员密码重设登录密码的方法

Pycharm 创建 Django admin 用户名和密码的实例

django 开发忘记密码通过邮箱找回功能示例

利用Django内置的认证视图实现用户密码重置功能详解

Python利用装饰器实现类似于flask路由

这篇文章主要为大家详细介绍了Python如何利用装饰器实现类似于flask路由，文中的示例代码讲解详细，对我们深入了解Python有一点的帮助，感兴趣的可以了解一下

2023-02-02
Python利用机器学习算法实现垃圾邮件的识别

今天教大家利用简单的机器学习算法实现垃圾邮件识别,文中有非常详细的介绍及代码示例,需要的朋友可以参考下

2021-06-06
简单了解python变量的作用域

这篇文章主要介绍了简单了解python变量的作用域,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

2019-07-07
Python中实现最小二乘法思路及实现代码

这篇文章主要介绍了Python中实现最小二乘法思路及实现代码，具有一定借鉴价值,需要的朋友可以参考下

2018-01-01
Python对图片进行resize、裁剪、旋转、翻转问题

这篇文章主要介绍了Python对图片进行resize、裁剪、旋转、翻转问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教

2023-05-05
Python脚本制作天气查询实例代码

在本篇文章里小编给大家整理的是一篇关于Python脚本制作天气查询实例代码实例，有兴趣的朋友们可以参考学习下。

2021-08-08
Python 实现Image和Ndarray互相转换

今天小编就为大家分享一篇Python 实现Image和Ndarray互相转换，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧

2020-02-02
Python实现链表反转的方法分析【迭代法与递归法】

这篇文章主要介绍了Python实现链表反转的方法,结合实例形式分析了Python迭代法与递归法实现链表反转的相关操作技巧与注意事项,需要的朋友可以参考下

2020-02-02
python列表中删除多条字典信息的三种方法

本文主要介绍了python列表中删除多条字典信息的三种方法,主要包括列表推导式,filter()函数,del 关键字这三种方法,具有一定的参考价值,感兴趣的可以了解一下

2023-09-09
Python pandas.DataFrame调整列顺序及修改index名的方法

这篇文章主要介绍了Python pandas.DataFrame调整列顺序及修改index名的方法，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

2019-06-06

脚本之家

Django密码存储策略分析

相关文章

最新评论

大家感兴趣的内容

最近更新的内容

常用在线小工具