我刚刚开始使用用户模型,我可能错了,但我只是想一想,我不知道足以说服自己这确实是错误的。
我有一个用户模型,我通过一对一模型扩展了配置文件。 (我发现的大多数来源都建议将其作为最佳做法)。
现在,我的应用上的一般用户可以访问个人资料数据的位,例如某人的用户名(用户模型的一部分)或国籍(个人资料模型的一部分)。
我在通过objects.get创建的视图中抓取此数据,并将结果传递给模板。但是这也没有传递(哈希)密码吗?如果是这样,这不安全吗?
答案 0 :(得分:0)
没有。为什么将用户模型传递给模板是不安全的?最终用户无法控制模板,只有您的代码才能控制。如果您未在任何地方使用模板中的密码,则最终用户将无法访问该密码。
在任何情况下,即使你确实使用它,正如你所指出的那样只存在散列密码;但哈希本身是无用的。要记录用户,Django需要一个哈希值相同的原始密码;但是哈希不容易逆转,这是使用它们的重点。