答案 0 :(得分:9)
最佳做法?将Users API与Google帐户或OpenID一起使用,这样您就不会首先存储或传输密码。
如果您必须自己进行,请使用SSL传输登录数据,并使用strengthened等方案存储密码哈希,盐渍和PBKDF2。
答案 1 :(得分:8)
您可以使用已移植到google-app-engine的PyCrypto。
当然,您永远不应存储实际密码。存储哈希应该就足够了。当用户输入密码时,您再次对其进行哈希处理并将其与存储的值进行比较。
您当然应该只通过https接收密码,google-app-engine支持密码(尽管only through you appspot domain)
答案 2 :(得分:0)
BCrypt前段时间已移植到Python。从那以后,我一直在优雅地使用它。