4

我正在为从 django 中的 AbstractUser 继承的自定义用户模型编写自定义身份验证后端。我已经通过了 django 的默认身份验证后端,看到用户对象是使用带有UserModel._default_manager.get_by_natural_key(username)身份验证()的用户名获取的,如下所示

def authenticate(self, username=None, password=None, **kwargs):
        UserModel = get_user_model()
        if username is None:
            username = kwargs.get(UserModel.USERNAME_FIELD)
        try:
            user = UserModel._default_manager.get_by_natural_key(username)
            if user.check_password(password):
                return user
        except UserModel.DoesNotExist:
            # Run the default password hasher once to reduce the timing
            # difference between an existing and a non-existing user (#20760).
            UserModel().set_password(password)

我已经编写了一个自定义的 aut 后端,但出于好奇,我问这个问题,为什么在出现 DoesNotExist 异常时检查密码?

我已经尝试ipdb过身份验证方法并验证了在获取不存在用户的用户名后,控制流会转到除块。并且UserModel().set_password(password)在终端发出了一个。由于不确定后台发生了什么,我检查set_password()auth.models. 但这只是提出了一个NotImplementedError例外。我不确定这有什么帮助。

另外如何raise a UserDoesNotExist or django.core.exceptions.ObjectDoesNotExist exception correctly在自定义身份验证后端中的用户模型上进行失败的对象获取操作?想法是停止执行并向用户提供正确的反馈消息,而不是引发异常并尝试在 settings.py 中的 AUTHENTICATION_BACKENDS() 中给出的下一个身份验证后端。

TIA

4

2 回答 2

4

您应该阅读以下内容:

https://code.djangoproject.com/ticket/20760

当尝试使用 django.contrib.auth 进行身份验证时,如果用户不存在,则 authenticate() 函数几乎立即返回 None,而当用户存在时,由于尝试的密码被散列并与存储的密码进行比较,因此需要更长的时间。这允许攻击者根据身份验证尝试的响应时间推断给定帐户是否存在。

于 2016-05-31T08:59:18.307 回答
4

评论准确地解释了原因。如果它立即返回 False,则与不存在的用户相比,它所花费的时间要少得多。然后,攻击者将能够区分现有用户名和不存在用户名。

于 2016-05-31T09:00:10.443 回答