Как зашифровать пароль с помощью Python Flask-Security с помощью bcrypt?

Question

Я пытаюсь изложить стандартный базовый пример в документации по Flask-Security и заставил его работать, за исключением пароля, хранящегося в незашифрованном виде.

Я знаю эту строку:

user_datastore.create_user(email='matt@nobien.net', password='password')

Я мог бы изменить на:

user_datastore.create_user(email='matt@nobien.net', password=bcrypt.hashpw('password', bcrypt.gensalt()))

Но я думал, что Flask-Security позаботится о (двойном?) Соленом шифровании, и если я добавлю app.config ['SECURITY_REGISTERABLE'] = True и перейду к / зарегистрирую базу данных, на этот раз она зашифрована правильно.

Я знаю, что упускаю что-то простое, но не совсем понимаю, где ..

from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, UserMixin, RoleMixin, login_required
import bcrypt

# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECRET_KEY'] = 'super-secret'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///login.db'
app.config['SECURITY_PASSWORD_HASH'] = 'bcrypt'
app.config['SECURITY_PASSWORD_SALT'] = b'$2b$12$wqKlYjmOfXPghx3FuC3Pu.'

# Create database connection object
db = SQLAlchemy(app)

# Define models
roles_users = db.Table('roles_users',
        db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
        db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))

class Role(db.Model, RoleMixin):
    id = db.Column(db.Integer(), primary_key=True)
    name = db.Column(db.String(80), unique=True)
    description = db.Column(db.String(255))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password = db.Column(db.String(255))
    active = db.Column(db.Boolean())
    confirmed_at = db.Column(db.DateTime())
    roles = db.relationship('Role', secondary=roles_users,
                            backref=db.backref('users', lazy='dynamic'))

# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)

# Create a user to test with
@app.before_first_request
def create_user():
    try:
        db.create_all()
        user_datastore.create_user(email='matt@nobien.net', password='password')
        db.session.commit()
    except:
        db.session.rollback()
        print("User created already...")

# Views
@app.route('/')
@login_required
def home():
    return render_template('index.html')

if __name__ == '__main__':
    app.run()

Answer 1

Вы правы, create_user() не хэширует пароль. Это метод более низкого уровня . Если вы сможете использовать registerable.register_user() вместо этого, он будет хэшировать пароль для вас. Но если вы хотите использовать create_user() напрямую, просто зашифруйте пароль перед его вызовом:

from flask import request
from flask_security.utils import encrypt_password

@bp.route('/register/', methods=['GET', 'POST'])
@anonymous_user_required
def register():
    form = ExtendedRegistrationForm(request.form)

    if form.validate_on_submit():
        form_data = form.to_dict()
        form_data['password'] = encrypt_password(form_data['password'])
        user = security.datastore.create_user(**form_data)
        security.datastore.commit()

    # etc.

Я бы не рекомендовал переопределять хеширование паролей для объекта User, поскольку Flask-Security использует настройку SECURITY_PASSWORD_HASH для хранения алгоритма хеширования паролей. (По умолчанию по умолчанию - bcrypt, поэтому вам не нужно устанавливать это явно, если вы этого не хотите.) Flask-Security использует HMAC для посола пароля , в дополнение к SECURITY_PASSWORD_SALT, который вы предоставляете, поэтому просто хэшируйте пароль, используя, например, passlib с bcrypt не приведет к хешу, который Flask-Security будет правильно соответствовать . Возможно, вам удастся обойти эту проблему, исключив Flask-Security из цикла и выполнив все задачи по созданию и сравнению паролей самостоятельно ... но какой в ​​этом смысл? Вы используете библиотеку безопасности, пусть она обеспечивает безопасность для вас. Они уже исправили ошибки, с которыми вы обязательно столкнетесь.

Answer 2

Вместо хранения пароля вы можете использовать собственные декораторы python для хранения вместо него хешированной версии пароля и сделать пароль нечитаемым в целях безопасности, например:

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password_hash = db.Column(db.String(128))

    @property
    def password(self):
        raise AttributeError('password not readable')
    @password.setter
    def password(self, password):
        self.password_hash = bcrypt.hashpw('password', bcrypt.gensalt()))
        # or whatever other hashing function you like.

Вы должны добавить встроенную функцию проверки пароля в соответствии с технологией bcrypt, которую вы реализуете:

    def verify_password(self, password)
        return some_check_hash_func(self.password_hash, password)

Тогда вы можете создать пользователя с обычным:

User(email='a@example.com', password='abc')

и ваша база данных должна быть заполнена хэшем password_hash вместо атрибута password.