python-flask(六)用户信息安全性设置使用werkzeug散列密码

1. why?

• 设计 Web 程序时,人们往往会高估数据库中用户信息的安全性。
• 大多数用户都在不同的网站中使用相同的密码,获得密码之后, 访问用户在其他网站中的账户。

2. what?

用户密码的安全,关键在于不能存储密码本身,而要存储密码的散列
值。

3. how?

• 计算密码散列值的函数接收密码作为输入,使用一种或多种加密算法转换密码,最终
  得到一个和原始密码没有关系的字符序列。
• 核对密码时,密码散列值可代替原始密码,因为计算散列值的函数是可复现的:只要输入一样,结果就一样。

Werkzeug 中的 security 模块能够很方便地实现密码散列值的计算。

• generate_password_hash(password, method= pbkdf2:sha1 , salt_length=8)
• check_password_hash(hash, password) :

4. test?

数据库中保存密码不是以铭文方式保存，而是经过哈希加密

哈希加密的简单应用：

检查哈希加密的密码是否正确：

修改models.py

"""
文件名: $NAME.py
日期: 10  
作者: lvah
联系: [email protected]
代码描述: 

# 存储数据库相关的操作

"""


### 用户和角色是什么关系?
#    - 一对一
#    - 一对多: 角色是一， 用户是多， 外键写在多的一端
#   - 多对多
from datetime import datetime

from werkzeug.security import generate_password_hash, check_password_hash

from app import db


class Role(db.Model):
    __tablename__ = "用户角色"
    # id号递增autoincrement=True
    id = db.Column(db.Integer, primary_key=True, autoincrement=True)
    name = db.Column(db.String(20))
    # 反向引用, Role表中有属性users， User类中有role这个属性;
    users = db.relationship('User', backref='role')

    def __repr__(self):
        return "<Role %s>" % (self.name)


class User(db.Model):
    __tablename__ = "网站用户"
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(30), unique=True, index=True, nullable=False)  # unique=True用户名不能重复
    # password = db.Column(db.String(20), nullable=False)
    password_hash = db.Column(db.String(200),nullable=False)
    email = db.Column(db.String(20), unique=True, index=True)
    # 设置默认值， 位当前用户的创建时间;
    add_time = db.Column(db.DateTime, default=datetime.now())
    # 1-男 2-女
    gender = db.Column(db.SmallInteger,default=2)
    age = db.Column(db.Integer)
    #### 重要的： 用户角色id不能随便设置， 需要从Role中查询, （外键关联）
    role_id = db.Column(db.Integer, db.ForeignKey('用户角色.id'))

    # 类属性
    @property
    def password(self):
        raise AttributeError

    @password.setter
    def password(self,pwd):
        self.password_hash=generate_password_hash(pwd)

    def verify_password(self,password):
        return check_password_hash(self.password_hash,password)

    # 定义了 __repr()__ 方法,返回一个具有可读性的字符串表示模型,可在调试和测试时使用。
    def __repr__(self):
        return "<User %s>" % (self.username)

更新数据库

python manage.py  db upgrade 
python manage.py  db migrate -m "添加哈希加密"
python manage.py  db upgrade 

给数据库里添加用户

python manage.py database add_user -ufensi -pfensi  -->终端

---

select * from 网站用户  -->mysql数据库

发现再添加用户已经以哈希加密后的格式显示