SQLAlchemy& PassLib

时间:2013-02-19 21:59:24

标签: python hash passwords sqlalchemy pyramid

tl; dr - 在使用SQLAlchemy将密码插入MySQL数据库之前,如何使用PassLib等Python端库来散列密码?

好吧,所以我一直在我的桌子上敲我的头一两天试图解决这个问题,所以在这里:

我正在使用Pyramid / SQLAlchemy编写Web应用程序,并且我正在尝试与我的MySQL数据库的Users表进行交互。

最终,我想做类似以下的事情:

将密码与哈希值进行比较: 

if user1.password == 'supersecret'

插入新密码:

user2.password = 'supersecret'

我希望能够使用PassLib在我们的密码进入数据库之前对其进行哈希处理,而且我并不喜欢使用内置的MySQL SHA2功能,因为它没有被腌制。

但是,只是为了尝试它,我确实使用SQL端函数:

from sqlalchemy import func, TypeDecorator, type_coerce
from sqlalchemy.dialects.mysql import CHAR, VARCHAR, INTEGER
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy import Column

class SHA2Password(TypeDecorator):
  """Applies the SHA2 function to incoming passwords."""
  impl = CHAR(64)

  def bind_expression(self, bindvalue):
    return func.sha2(bindvalue, 256)

  class comparator_factory(CHAR.comparator_factory):
    def __eq__(self, other):
      local_pw = type_coerce(self.expr, CHAR)
      return local_pw == func.sha2(other, 256)

class User(Base):
  __tablename__ = 'Users'
  _id = Column('userID', INTEGER(unsigned=True), primary_key=True)
  username = Column(VARCHAR(length=64))
  password = Column(SHA2Password(length=64))

  def __init__(self, username, password):
    self.username = username
    self.password = password

这是从http://www.sqlalchemy.org/trac/wiki/UsageRecipes/DatabaseCrypt

的示例2中复制而来的

这样可以工作并允许我使用内置的MySQL SHA2函数(通过调用func.sha2())并完全按照我的意愿行事。但是,现在我正在尝试用Python端的PassLib替换它。

PassLib提供两个功能:一个用于创建新密码哈希,另一个用于验证密码:

from passlib.hash import sha256_crypt

new_password = sha256_crypt.encrypt("supersecret")

sha256_crypt.verify("supersecret", new_password)

我无法弄清楚如何实际实现这一点。阅读完所有文档后,我认为它是TypeDecorator的不同形式,自定义类型声明,混合值或混合属性。我试过跟this,但它对我来说没有意义,代码也没有提到实际运行。

所以,总结一下我的问题 - 如何重载===运算符,以便它们通过适当的哈希函数运行?

2 个答案:

答案 0 :(得分:5)

来自PasswordType

sqlalchemy-utils应该是此问题的最佳选择。它使用passlib。从文档中删除:

  

以下用法将创建一个密码列,该列将自动将新密码哈希为pbkdf2_sha512,但仍将密码与预先存在的md5_crypt哈希值进行比较。密码被比较;数据库中的密码哈希将更新为pbkdf2_sha512。

class Model(Base):
    password = sa.Column(PasswordType(
        schemes=[
            'pbkdf2_sha512',
            'md5_crypt'
        ],
        deprecated=['md5_crypt']
    ))
  

验证密码非常简单:

target = Model()
target.password = 'b'
# '$5$rounds=80000$H.............'
target.password == 'b'
# True

答案 1 :(得分:3)

据我所知,你想要的是:

  1. 创建帐户时加密用户密码。使用你的盐和算法
  2. 当用户登录时,使用与存储时相同的方式对输入密码进行哈希处理
  3. 在数据库请求
    4. 中使用常规字符串比较比较两个哈希值

    所以,对于登录代码来说是这样的:

    from passlib.hash import sha256_crypt
passHash = sha256_crypt.encrypt(typed_password)
// call your sqlalchemy code to query the db with this value (below)

// In your SQLAlchemy code assuming "users" is your users table
// and "password" is your password field
s = users.select(and_(users.username == typed_username, users.password == passHash))
rs = s.execute()

    rs将是匹配用户的结果集(当然应为零或一个)。

    免责声明 - 我没有测试任何这个

    修改 感谢您指出PassLib每次运行时都使用不同的盐。在这种情况下你最好的选择,因为似乎没有一种直接的方式来使用sqlalchemy,如下所示:

    s=users.select(users.username == typed_username)
rs = s.execute()
userRow = rs.fetchone()
if (sha256_crypt.verify(userRow.password)):
    # you have a match

    此外,要解决您的抽象请求:处理此操作的常用方法是创建一个“安全”实用程序类,用于获取与传递的登录凭据匹配的用户(对象)。

    当前设置的问题是User构造函数有两个不同的操作目标,虽然相关,但不一定是相同的:验证用户和获取User对象(例如,用户列表中的用户)组)。在这种情况下,构造函数变得不必要地复杂。最好将该逻辑放在可以使用其他安全或登录相关功能封装的地方,例如通过会话ID或SSO令牌而不是用户名/密码登录用户:

    security.loginUser(username, password)
# or security.loginUser(single_sign_on_token), etc. for polymorphic Security
loggedInUser = security.getLoggedInUser()

... later ...
otherUser = User(username) #single job, simple, clean
相关问题
最新问题