4

我想知道是否有人使用这个烧瓶扩展来简化 http-basic-auth。

基本上我不明白这个例子

users = {
    "john": "hello",
    "susan": "bye"
}

@auth.get_password
def get_pw(username):
    if username in users:
        return users[username]
    return None

get_password装饰器似乎返回给定用户的明文密码,如果它与用户提供的密码匹配,则授权将被授予。

但是没有人应该首先访问用户的明文密码。我通常将明文密码和用户名发送到后端,对密码进行哈希处理并将其与数据库中现有的哈希密码进行比较。

这是如何设想的?

更新:

文档的链接提供了更多信息。因为需要第二个装饰器来实现这一点:

@auth.hash_password
def hash_pw(username, password):
    get_salt(username)
    return hash(password, salt)

从字面上看,规则是get_password(username) == hash_password(password)

我理解这个工作的方式是get_password在数据库中返回用户的哈希密码,它需要等于hash_password方法中定义的当前哈希密码。

问题是,我使用的是passlib 中的 sha256_crypt

def verify_password(password, hashed_password_in_db, password_hash_version):
    if password_hash_version == 1:
        return sha256_crypt.verify(password, hashed_password_in_db)
    return False

在这里,您不能散列给定的密码并将其与存储的散列密码进行比较。我必须使用sha256_crypt.verify(password, hashed_password_in_db)返回 false 或 true 的方法。

有没有办法实现这一点,还是我必须推出自己的自定义解决方案?谢谢

4

2 回答 2

7

我是 Flask-HTTPAuth 的开发者。对不起,我错过了这个问题。

我刚刚发布了一个新版本,它为您提供了一种使用自定义函数来验证密码的方法。现在,您可以使用回调,而不是定义get_password和回调,让密码验证完全由您决定。例如,在您的情况下,您将使用此回调:hash_passwordverify_password

@auth.verify_password
def verify_password(email, password):
    return check_auth(email, password)

我希望这有帮助!

于 2013-11-26T02:05:23.430 回答
1

我才意识到这个问题仍然没有答案。

我确信该项目flask-httpauth非常适合您打算使用 md5 哈希的情况。

但就我而言,如果你使用sha256_crypt它,你就不能让它与这个扩展一起工作,因为它的工作方式。(请参阅我更新的问题)

我最终做的是使用烧瓶制造商编写的这个片段。

该方法check_auth正是我需要的,因为它返回布尔值。

就我而言,我已经这样定义它以使其与sha256_crypt

def check_auth(email, password):
    em_login_provider = ndb.Key('AuthProvider', get_provider_id(constants.EMAIL, email)).get()        
    if em_login_provider and em_login_provider.active:
        user = em_login_provider.user                
        if user and verify_password(password, user.password_hash, user.password_hash_version):
            return True
    return False
于 2013-11-14T22:40:11.257 回答