python-flask(六)用户信息安全性设置使用werkzeug散列密码
1. why?
- 设计 Web 程序时,人们往往会高估数据库中用户信息的安全性。
- 大多数用户都在不同的网站中使用相同的密码,获得密码之后, 访问用户在其他网站中的账户。
2. what?
用户密码的安全,关键在于不能存储密码本身,而要存储密码的散列
值。
3. how?
- 计算密码散列值的函数接收密码作为输入,使用一种或多种加密算法转换密码,最终
得到一个和原始密码没有关系的字符序列。 - 核对密码时,密码散列值可代替原始密码,因为计算散列值的函数是可复现的:只要输入一样,结果就一样。
Werkzeug 中的 security 模块能够很方便地实现密码散列值的计算。
- generate_password_hash(password, method= pbkdf2:sha1 , salt_length=8)
- check_password_hash(hash, password) :
4. test?
数据库中保存密码不是以铭文方式保存,而是经过哈希加密
哈希加密的简单应用:
检查哈希加密的密码是否正确:
修改models.py
"""
文件名: $NAME.py
日期: 10
作者: lvah
联系: [email protected]
代码描述:
# 存储数据库相关的操作
"""
### 用户和角色是什么关系?
# - 一对一
# - 一对多: 角色是一, 用户是多, 外键写在多的一端
# - 多对多
from datetime import datetime
from werkzeug.security import generate_password_hash, check_password_hash
from app import db
class Role(db.Model):
__tablename__ = "用户角色"
# id号递增autoincrement=True
id = db.Column(db.Integer, primary_key=True, autoincrement=True)
name = db.Column(db.String(20))
# 反向引用, Role表中有属性users, User类中有role这个属性;
users = db.relationship('User', backref='role')
def __repr__(self):
return "<Role %s>" % (self.name)
class User(db.Model):
__tablename__ = "网站用户"
id = db.Column(db.Integer, primary_key=True)
username = db.Column(db.String(30), unique=True, index=True, nullable=False) # unique=True用户名不能重复
# password = db.Column(db.String(20), nullable=False)
password_hash = db.Column(db.String(200),nullable=False)
email = db.Column(db.String(20), unique=True, index=True)
# 设置默认值, 位当前用户的创建时间;
add_time = db.Column(db.DateTime, default=datetime.now())
# 1-男 2-女
gender = db.Column(db.SmallInteger,default=2)
age = db.Column(db.Integer)
#### 重要的: 用户角色id不能随便设置, 需要从Role中查询, (外键关联)
role_id = db.Column(db.Integer, db.ForeignKey('用户角色.id'))
# 类属性
@property
def password(self):
raise AttributeError
@password.setter
def password(self,pwd):
self.password_hash=generate_password_hash(pwd)
def verify_password(self,password):
return check_password_hash(self.password_hash,password)
# 定义了 __repr()__ 方法,返回一个具有可读性的字符串表示模型,可在调试和测试时使用。
def __repr__(self):
return "<User %s>" % (self.username)
更新数据库
python manage.py db upgrade
python manage.py db migrate -m "添加哈希加密"
python manage.py db upgrade
给数据库里添加用户
python manage.py database add_user -ufensi -pfensi -->终端
select * from 网站用户 -->mysql数据库
发现再添加用户已经以哈希加密后的格式显示