个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
为什么在 django 中创建自己的用户类而不是使用 django 内置的用户函数被认为是不好的做法?
P.S 我想创建的用户类包含他们的电子邮件、密码(散列整数)、名称和用户类型的字段。使用 python 的 hash() 方法对密码进行哈希处理。
hash(password_string);
最佳答案
使用您自己的 User 类是 fully supported甚至受到包括我在内的一些人的鼓励。它允许进行各种自定义,例如使用电子邮件作为用户名、提供用户类型或您能想到的几乎所有内容。
虽然支持提供您自己的身份验证机制,但如果您没有安全方面的经验,强烈建议不要提供。您应该基于 Django 的身份验证机制和 Django 使用的散列函数的多年经验,并依靠社区对安全漏洞的持续关注。
至于使用内置的hash(password_string)存储密码?您最好以纯文本形式存储密码。内置的 hash() 函数专为提高速度而设计。它不是加密安全的,而且速度非常快。这意味着什么?第一个意味着碰撞不是均匀分布的。一些散列值出现的次数比其他的多,这意味着一些密码天生就比较弱,与其他密码相比会相等。第二个意味着获得数据库中密码的攻击者可以简单地暴力破解这些值。您使用的是单次迭代,这意味着攻击者每秒可以尝试数十亿个密码。您没有使用盐,这使得密码列表怀疑并行性和彩虹表。更不用说,在 Python 3 中,hash() 函数以随机值作为种子,每个新的 Python 进程都会为相同的密码生成不同的哈希值,即密码只会有效对于那个特定的 Python 进程,直到它重新启动。
这只是冰山一角。
所以请随意推出您自己的 User 类,使用任何您喜欢的用户名,提供您想要的任何其他属性,但是拜托,拜托,请为每个人使用 Django 的默认身份验证机制清酒。
关于python - 为什么在 django/python 中创建自己的用户类来管理用户信息是不好的做法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30792678/
25
4
0
非常简单的应用程序 - 您可以复制 - 粘贴 - 运行。主要只是“创建”应用程序。 - 这不是问题(可能) #include #include #include #include typede
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题吗? 通过 editing this post 添加细节并澄清问题. 关闭 6 年前。 Improve t
Haskell 有一个名为 seq 的神奇函数,它接受任何类型的参数并将其简化为弱头范式 (WHNF)。 我读过一些资料[但我现在不记得他们是谁了...],它们声称“多态 seq 很糟糕”。他们在哪些
我正在编写一个脚本,该脚本应该在一堆服务器周围运行并从中选择一堆数据,包括本地服务器。选择我需要的数据所需的 SQL 非常复杂,所以我正在编写一种临时 View ,并使用 OPENQUERY 语句来获
考虑以下代码: case class Vector3(var x: Float, var y: Float, var z: Float) { def add(v: Vector3): Unit =
我正在读这个SO post关于守护线程,答案底部的引述是: But joining a demonized thread opens most likely a whole can of troubl
在阅读有关 Google webtool 工具包的内容时,看到一条声明说“同步 RPC 不好”。他们有什么理由吗?我能想到的一个很好的理由是,对最终用户的响应可能会受到远程服务器延迟或网络问题的影
我有以下 HTML: A Simple Sample Web Page By Sheldon Brown Demonstrating a few HTML feat
我正在做一项简单的任务,但我陷入困境...... output 我需要使第一行与其他所有内容保持一致,但无论我做什么,它都不想接受空格。那么,我应该纠正什么以及为什么?谢谢 public static
我在系统中有一个类,其目的列为“这可以是从午夜算起的秒数。或者带有日期的时间。”我试图解释这有多糟糕,但我无法理解我的观点。有没有人对如何解决这个问题有任何想法。 http://code-slim-j
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: When are C++ macros beneficial? Why is #define bad and
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
始终建议通过将所有代码放在 JS 文件中来避免内联 Javascript 代码,该文件包含在所有页面中。我想知道,这是否不会导致繁重的页面出现性能问题。 例如,假设我们有几十个这样的函数 functi
我主要在 AngularJS 中进行开发,最近我正在研究 Vue.js 并阅读它的指南,在它提到的一页上: By default, all props form a one-way-down bind
我正在构建一个本地化目录,但遇到了设计难题。现在,目录存储一个 Dictionary存储翻译,其中 IString可以是两种类型:Singular或 Plural .这是 IString 的简化版本:
对于我的矩阵类,我做了: template class Matrix { private: std::array, Height> Elements; stat
MSDN documentation说 public class SomeObject { public void SomeOperation() { lock(this) {
建议不要在 Python 中使用 import *。 谁能分享一下原因,这样我下次就可以避免了? 最佳答案 因为它会将很多东西放入您的命名空间(可能会影响之前导入的一些其他对象,而您不会知道它)。 因
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
G'day, 这与my question on star developers有关并到 this question regarding telling someone that they're wri
我是一名优秀的程序员,十分优秀!