需求
需要设计一个系统(采用Django),专门管理另一个系统的用户。用户登录在另一个系统中进行,那边的密码采用bcrypt进行校验,所以Django系统中密码保存也要用bcrypt加密保存。
而Django虽然自带的User中提供了Password功能(输入明文、自动生成加密字符串),但是model中却并不提供一个所谓的PasswordField。
因此,需求就是如何在自己实现的注册功能中,将明文密码用bcrypt加密保存
设计
以前没有安全方面“专业”知识累积,所以决定自己创建路由、视图、表单等组件,但是在查找资料的过程中发现了许多可用的资料。
但是提前优化是万恶之源,我没有决定中途改换技术方案,而是等待下一版再更改为更专业的方案。
创建路由、视图、表单、模板等过程都比较简单,就不在赘述了,着重讲下如何将明文密码进行加密的过程。
下载bcrypt
Python 版的 bcrypt 的 网站,安装命令:pip install bcrypt
实现
接下来,在form的 clean_password() 函数里,返回加密后的字符串。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18import bcrypt
class SignUpForm(forms.Form):
password1 = forms.CharField(
required=True,
widget=forms.PasswordInput(attrs={'placeholder': '输入密码', 'class': 'input pass'})
)
password2 = forms.CharField(
required=True,
widget=forms.PasswordInput(attrs={'placeholder': '再次输入密码', 'class': 'input pass'})
)
def clean_password2(self):
cleaned_data = super(SignUpForm, self).clean()
password2 = cleaned_data.get('password2')
return bcrypt.hashpw(password2, bcrypt.gensalt())
在views里取值时用form.cleaned_data['password2']即可取到加密后的字符串,验证功能在需求部分已经做过介绍,不需要django这部分负责。
排坑
我的django是基于python3的,在python2里测试生成加密字符串的过程没有问题,但是在python3会报如下错误:1
Unicode-objects must be encoded before hashing
查找了下原因,是因为python3里,字符串有str和bytes两种形态,所以需要改成1
bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt()).decode('utf-8')
另外,bcrypt有多种标准,我们需要的是2a,所以还要改成:1
bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt(prefix=b'2a')).decode('utf-8')
这样就得到正确结果了。
结果
可以看到password的值已经是bcrypt加密后的字符串了。