要想保护数据库中的密码安全,关键在于不能存储密码本身,而是存储密码的散列值。散列函数(或散列算法,又称哈希函数,Hash Function)接受密码作为输入,得到一个和原始密码无关的字符序列,核对密码时,散列值可以代替原始密码。
更改User模型:
from werkzeug.security import generate_password_hash, check_password_hash class User(db.Model): __tablename__ = 'users' id = db.Column(db.INTEGER, primary_key=True) username = db.Column(db.String(64), unique=True) role_id = db.Column(db.INTEGER, db.ForeignKey('roles.id')) password_hash = db.Column(db.String(128)) @property def password(self): raise AttributeError('password is not a readable attribute') @password.setter def password(self, password): self.password_hash = generate_password_hash(password) def verify_password(self, password): return check_password_hash(self.password_hash, password)