如何使用 Python Flask-Security 使用 bcrypt 加密密码?

How to encrypt password using Python Flask-Security using bcrypt?

提问人:Johnny John Boy 提问时间:9/6/2018 更新时间:2/15/2023 访问量:22754

问:

我正在尝试使用 Flask-Security 文档中的标准基本示例,并使其工作,除了密码以明文形式存储。

我知道这句话:

user_datastore.create_user(email='[email protected]', password='password')

我可以改成:

user_datastore.create_user(email='[email protected]', password=bcrypt.hashpw('password', bcrypt.gensalt()))

但我认为 Flask-Security 负责(双重?)加盐加密,如果我添加 app.config['SECURITY_REGISTERABLE'] = True 并转到 /register 数据库,这次是正确加密的。

我知道我错过了一些简单的东西,但不太明白在哪里。

from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, UserMixin, RoleMixin, login_required
import bcrypt

# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECRET_KEY'] = 'super-secret'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///login.db'
app.config['SECURITY_PASSWORD_HASH'] = 'bcrypt'
app.config['SECURITY_PASSWORD_SALT'] = b'$2b$12$wqKlYjmOfXPghx3FuC3Pu.'

# Create database connection object
db = SQLAlchemy(app)

# Define models
roles_users = db.Table('roles_users',
        db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
        db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))

class Role(db.Model, RoleMixin):
    id = db.Column(db.Integer(), primary_key=True)
    name = db.Column(db.String(80), unique=True)
    description = db.Column(db.String(255))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password = db.Column(db.String(255))
    active = db.Column(db.Boolean())
    confirmed_at = db.Column(db.DateTime())
    roles = db.relationship('Role', secondary=roles_users,
                            backref=db.backref('users', lazy='dynamic'))

# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)

# Create a user to test with
@app.before_first_request
def create_user():
    try:
        db.create_all()
        user_datastore.create_user(email='[email protected]', password='password')
        db.session.commit()
    except:
        db.session.rollback()
        print("User created already...")

# Views
@app.route('/')
@login_required
def home():
    return render_template('index.html')

if __name__ == '__main__':
    app.run()
python flask flask-security

评论

0赞 Chris 9/6/2018
我不确定你的问题是什么,但 bcrypt 不加密密码。密码是正确存储的这是一个重要的区别。加密数据可以解密;加密哈希被设计为不可逆的。此外,这些哈希值的输出大小是可预测的,对于空字符串和《战争与和平》的整个文本也是如此,这意味着很容易将任意大密码的哈希值存储在具有固定大小的数据库列中。
0赞 Johnny John Boy 9/6/2018
好的,我现在理解了术语,但它没有回答为什么密码以明文形式存储在数据库中。

答:

11赞 Attack68 9/6/2018 #1

您可以使用 python 的本机装饰器来存储密码的哈希版本,而不是存储密码,并出于安全目的使密码不可读,如下所示:

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password_hash = db.Column(db.String(128))

    @property
    def password(self):
        raise AttributeError('password not readable')
    @password.setter
    def password(self, password):
        self.password_hash = bcrypt.hashpw('password', bcrypt.gensalt()))
        # or whatever other hashing function you like.

您应该添加一个与您实现的 bcrypt 技术内联的验证密码函数:

    def verify_password(self, password)
        return some_check_hash_func(self.password_hash, password)

然后,您可以使用通常的以下命令创建用户:

User(email='[email protected]', password='abc')

并且您的数据库应该使用哈希而不是属性进行填充。password_hashpassword

4赞 Nick K9 6/28/2019 #2

你是对的,不对密码进行哈希处理。这是一种较低级别的方法。如果您能够改用,那么它将为您散列密码。但是,如果您想直接使用,那么只需在调用密码之前加密密码即可:create_user()registerable.register_user()create_user()

from flask import request
from flask_security.utils import encrypt_password

@bp.route('/register/', methods=['GET', 'POST'])
@anonymous_user_required
def register():
    form = ExtendedRegistrationForm(request.form)

    if form.validate_on_submit():
        form_data = form.to_dict()
        form_data['password'] = encrypt_password(form_data['password'])
        user = security.datastore.create_user(**form_data)
        security.datastore.commit()

    # etc.

我不建议覆盖 User 对象上的密码哈希,因为 Flask-Security 使用该设置来存储密码哈希算法。(它默认为 ,因此如果您不想,则无需显式设置。除了您提供的密码外,Flask-Security 还使用 HMAC 对密码进行加盐处理,因此仅使用例如带有 bcrypt 的 passlib 对密码进行哈希处理不会产生 Flask-Security 正确匹配的哈希值。您可以通过将 Flask-Security 从循环中剔除并自己完成所有密码创建和比较任务来回避这一点......但有什么意义呢?您正在使用安全库,让它为您执行安全操作。他们已经修复了您一定会遇到的错误。SECURITY_PASSWORD_HASHbcryptSECURITY_PASSWORD_SALT

0赞 mcsoini 2/15/2023 #3

不确定自从有人问这个问题以来情况是否发生了变化,但文档现在明确指出

“请注意,无论传入什么密码,都将直接存储在数据库中。不要输入明文密码!最佳做法是输入hash_password(plaintext_password)。(强调我的)

即:


from flask_security import hash_password

...

user_datastore = SQLAlchemyUserDatastore(db, User, Role)
app.security = Security(app, user_datastore)

...

app.security.datastore.create_user(email=email, password=hash_password(password), roles=roles)

评论

1赞 Nick K9 2/15/2023
这是针对 Flask-Security-Too 的,它是原始(现已废弃)Flask-Security 的维护分支。它似乎已重命名为 .encrypt_password()hash_password()
0赞 mcsoini 2/15/2023
我想值得保留作为答案。

上一个:如何将刷新令牌发布到 Flask JWT Extended?

下一个:每天 14:00 运行一次任务,如果睡觉,请尽快运行任务