App Engine: как лучше передавать пароль и надежно хранить его в Google App Engine?

Question

Мне интересно, как обстоят дела с передачей паролей из веб-формы и хранением их в хранилище данных?

Многие недавние публикации указывают на bcrypt , однако чистых реализаций Python нет, что является обязательным требованием для App Engine.

Есть предложения?

Answer 1

Лучшая практика?Используйте API пользователей с учетными записями Google или OpenID, чтобы в первую очередь не хранить и не передавать пароли.

Если вам нужно сделать это самостоятельно, передайте данные для входа по SSL и сохраните хэшированный пароль., соленые и усиленные , используя схему, такую ​​как PBKDF2 .

Answer 2

Вы можете использовать PyCrypto , который был перенесен в google-app-engine.

Конечно, вы никогда не должны хранить действительные пароли. Хранения хеша должно быть достаточно. Когда пользователь вводит свой пароль, вы снова его хешируете и сравниваете с сохраненным значением.

Вы, конечно, должны получать пароли только через https, который поддерживается в google-app-engine (хотя только через ваш домен appspot )

Answer 3

BCrypt был портирован на Python некоторое время назад. С тех пор я изящно пользуюсь им.