Использование аутентификации пирамиды с пирамидой - PullRequest
10 голосов
/ 07 февраля 2012

В документации по пирамиде Sqlalchemy Dispatch Tutorial использует фиктивные данные в security.py. Мне нужно было использовать данные MySQL, поэтому я реализовал это так:

Мой логин

@view_config(route_name='login', renderer='json',permission='view')
def user_login(request):
    session = DBSession
    username = request.params['username']
    password = request.params['password']
    sha = hashlib.md5()
    sha.update(password)
    password = sha.digest().encode('hex')
    user = session.query(Users).filter(and_(Users.username==username,Users.password ==password)).count()   
    if(user != 0):
        headers = remember(request, username)
        return HTTPFound(location = '/index/',
                             headers =headers)
    else:
        print "error"

Вышеуказанное заставляет систему запоминать имя пользователя, которое будет использоваться в security.py. Ниже я использую это, чтобы получить группу, в которой находится пользователь.

from .models import (
    DBSession,
    Users,
    )

def groupfinder(userid, request): 
    session = DBSession()
    for instance in session.query(Users).filter(Users.username==userid):
        group = 'group:'+instance.group  
        lsth = {'userid':[group]}
        return lsth.get  ('userid')   

Это лучший способ использовать авторизацию пирамиды?

1 Ответ

14 голосов
/ 07 февраля 2012

Вы правильно поняли.

Ваш групповой поиск прямо сейчас сломан. Обратите внимание, что у вас есть цикл for с оператором return внутри. Групповой поиск должен возвращать как минимум пустой список [], если пользователь действителен. Возвращайте None только если пользователь недействителен.

Также пароль md5 в наши дни довольно дерьмовый. Взгляните на библиотеки cryptacular или passlib для выполнения криптографического хэша вместо bcrypt.

...