有没有办法在Django中存储旧的密码哈希,所以用户不能重复使用相同的密码?
在对此进行研究时,每次Django创建密码哈希时,哈希都是不同的,即使密码是相同的。例如,这将返回两个不同的哈希值:
from django.contrib.auth.hashers import make_password
make_password('foo')
make_password('foo')
我可以理解这个的安全原因。有人试过在Django做这个吗?以某种方式存储旧密码,因此用户在密码过期时必须使用新密码等??
答案 0 :(得分:2)
使用
make_password("foo",salt="bar")
但是存储历史性的哈希真的很烦人......
答案 1 :(得分:1)
不确定仍然与您相关,但肯定与其他人相关。
您可以存储所有先前的哈希,然后将每个哈希与Django的相同功能进行比较:
from django.contrib.auth.hashers import check_password
check_password("plain_password", "hash_stored")
最好的方法是将此检查添加到自定义密码验证中,如Django在文档https://docs.djangoproject.com/en/2.0/topics/auth/passwords/末尾所建议的那样
类似这样的东西:
class InvalidPasswordReused:
number_of_passw_not_allowed = settings.PASSWORDS_HASH_STORED
def __init__(self, number_of_prev_passw_not_allowed=6):
self.number_of_prev_passw_not_allowed = number_of_prev_passw_not_allowed
pass
def validate(self, password, user=None):
if user.previous_passwords:
previous_passwords = list(user.previous_passwords)
for prev_passw in previous_passwords:
if check_password(password, prev_passw):
raise ValidationError(
f"Password cannot be one of the {self.number_of_prev_passw_not_allowed} last passwords.",
code='passwor_reused_not_allowed'
)
return None
def get_help_text(self):
return f"Password cannot be one of the {self.number_of_prev_passw_not_allowed} last passwords."