我有一台运行Django 1.6.6的服务器和一个由phonegap / cordova构建到Android和iOS的应用程序。
第一个问题: 因为我对"用户"有一些自定义要求。 class我不想使用Django提供的User-class。
所以我有以下课程:
class Customer(models.Model):
uid = models.CharField(primary_key=True, max_length=64)
username = models.CharField(max_length=64)
password = models.CharField(max_length=16)
role = models.CharField(max_length=16)
confirmed = models.BooleanField()
createdat = models.DateTimeField()
...
def __str__(self):
return '%s' % (self.username)
因此,如果我或其他管理员登录Django提供的" Admin" -backend,他可以将用户的密码视为纯文本。 有没有办法创建类似
的东西password = models.PasswordField(max_length=16)
以避免在后端读取密码?
第二个问题是,如果通过像这样的ajax发送密码
var request = $.ajax({
url : 'https://myproject.mydomain.com/login/',
type : 'GET',
dataType : 'json',
data : {
'username' : username,
'password' : password
},
timeout : 30000,
success : function(data) {
//do success stuff
},
error : function(x, t, m) {
//do error stuff
}
}
});
使用" https"密码安全吗?或者还有其他方法可以做到这一点吗?
谢谢!