werkzeug.security的generate_password_hash方法的使用

最新推荐文章于 2024-12-12 09:49:50 发布
最新推荐文章于 2024-12-12 09:49:50 发布
阅读量579 收藏 5
点赞数 5
分类专栏: python 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bland107/article/details/140696190
版权

背景

用户登录,使用简单安全的python第三方库,可以自定义加密方式和salt的长度。

使用

werkzeug.security是Python的一个库,提供了一些密码相关的功能,包括密码哈希和验证。其中,generate_password_hash()方法用于生成密码的哈希值。

下面是使用generate_password_hash()方法生成密码哈希的示例:

from werkzeug.security import generate_password_hash
password = "my_password"
hash_value = generate_password_hash(password)
print(hash_value)

我们导入了generate_password_hash函数,并将明文密码存储在password变量中。然后,我们调用generate_password_hash()方法,将密码作为参数传递给它。该方法将返回密码的哈希值,将其存储在hash_value变量中。最后,我们打印出哈希值。generate_password_hash()方法使用安全的密码哈希算法(如PBKDF2或bcrypt)来保护密码,并自动生成一个随机的盐值。这种哈希算法具有较高的安全性,可以防止彩虹表攻击和暴力破解。

扩展参数

如果您需要自定义哈希算法的参数(如迭代次数、盐长度等),generate_password_hash()方法还提供了一些可选参数。

password(必需): 要进行哈希处理的原始密码字符串。
method(可选): 哈希算法的名称或标识符。默认为"pbkdf2:sha256"(PBKDF2哈希算法,使用SHA-256散列函数)。您可以使用其他支持的算法,如"bcrypt""sha512"。支持的哈希算法取决于您的Werkzeug版本。
salt_length(可选): 盐值的长度(以字节为单位)。默认为16
Flask框架中的generate_password_hash 方法
u013039977的博客
12-10 509
generate_password_hash 是一个简单而强大的工具,用于安全地存储用户密码,同时防止常见的密码存储风险。在现代 Flask 应用中,配合 check_password_hash,它可以轻松实现用户密码的加密与验证。提供的一种方法,用于生成安全的密码哈希值。• 返回的是一个字符串形式的哈希值,包含了算法信息、盐值和加密后的密码。:引入随机盐值,即使用使用相同的密码,生成的哈希值也不同。: (必需)要加密的明文密码,通常是用户提供的字符串。:存储用户密码的哈希值,而不是明文密码。
【Flask】使用 werkzeug 安全地处理密码
m0_56699208的博客
01-13 917
在上述示例中,generate_password_hash 用于创建哈希密码,而 check_password_hash 用于验证用户提供的密码是否与哈希密码匹配。由于哈希是单向的,所以无法从哈希密码还原出明文密码。函数对密码进行哈希处理后,原始密码将不再可见,因此不再存储明文密码。这是哈希算法的一种基本原则,密码不应该以明文形式存储,以提高安全性。因此,一旦密码被哈希处理,就不再能够直接查看密码的明文值。注意,这个示例中使用明文存储密码,这在实际应用中是不安全的。字段,然后再编写相应的登录和注册接口。
python中WEB安全库》:此文为AI自动生成
zheng_ruiguo的专栏
12-12 999
Python中有许多用于Web安全的库
werkzeug:generate_password_hash()函数 关于同一密码生成不同的密码散列值
Miao_Hen的博客
03-28 3099
写贴上自己写的demo from werkzeug.security import generate_password_hash, check_password_hash class User(db.Model): __tablename__ = 'users' id = db.Column(db.Integer, primary_key=True) usernam...
使用werkzeug.securitygenerate_password_hash加密,及check_password_hash加密及对比
Null的博客
01-28 8369
generate_password_hash 使用方法:直接导入generate_password_hash方法,然后传入 想加密的字符串 即可。需要注意的是,如果要保存到数据库中记得设置String(128),64可能不太够存储。 check_password_hash 使用说明:导入check_password_hash使用方法来做密码的加密和对比。第一个参数传入我们需要对比的密...
flask中使用werkzeug.securitygenerate_password_hash,check_password_hash使用
h18208975507的博客
08-19 2623
generate_password_hash 使用方法:直接导入generate_password_hash方法,然后传入 想加密的字符串 即可。需要注意的是,如果要保存到数据库中字段尽量设置长度大一点 check_password_hash 使用说明:导入check_password_hash使用方法来做密码的加密和对比。第一个参数传入我们需要对比的密码,第二个参数传入我们的明文密码。这样这个函数就帮我们完成了先加密再对比的操作。如果相等,那么将返回True,否则返回False 示例: p
python web flask sha256 加密(generate_password_hash)实例
qq_48082548的博客
10-21 909
用户注册完成后,将数据提交到后台,密码保存到数据库不能以明文的方式保存,我们得对数据加密 我们是通过sha256加密的 导包: from werkzeug.security import generate_password_hash, check_password_hash 会在用户的模型类添加三个函数,如图; 模型类: from werkzeug.security import generate_password_hash, check_password_hash class User(BaseM
werkzeug:generate_password_hash()函数如何破解相同密码设置,验证用户对应的“密码散列值”
Miao_Hen的博客
03-29 2712
接上章节:https://blog.csdn.net/Miao_Hen/article/details/105157765 讲述:为什么generate_password_hash()函数针对同一密码,生成不同的“密码散列值”,而用户登录时可以判断密码是否正确 清晰的描述:A/B两个用户,都设置密码为“cat”,但是A/B两个用户生成的“password_hash”不一致;当A用户登录时,怎么...
python小技巧-werkzeug.security加密及验证
Kariol的博客
07-24 1512
密码生成函数: generate_password_hash(password, method='pbkdf2:sha1', salt_length=8) 参数说明: password: 明文密码 method: 哈希的方式(需要是hashlib库支持的),格式为pbpdf2:<method>[:iterations]。参数说明: method:哈希的方式,一般为SHA1, iterations:(可选参数)迭代次数,默认为1000。 slat_length: 盐值的长度,默认为8
python--Flask学习(七)--利用Flask中的werkzeug.security模块加密
duan哥哥的博客
07-31 3343
若将密码以明文的方式保存在数据库中是不安全的,可以使用一些如MD5的方式加密,但像这种加密方式也是存在安全隐患的,这里我们来学习一下利用Flask中的werkzeug.security模块加密。 1、这种加密方式的原理:加密时混入一段“随机”字符串(盐值)再进行哈希加密。即使 密码相同,如果盐值不同,那么哈希值也是不一样的。现在网站开发中主要是运 用这种加密方法。 2、这个模块主要是用到了两个函数...
Flask 使用Werkzeug实现密码加密
小马同学
04-14 670
有时候我们写项目,密码就是明码存放在数据库中,现在大多数用户在不同的网站中使用的都是相同的密码,如果攻击者入侵服务器获取了数据库,这样是很危险的。所以一般在开发中,我们会对密码进行加密之后在保存。 Werkzeug中的security模块能过很方便的地实现密码散列值的计算(对密码进行加密)。 generate_password_hash(password, method=pdkdf2:sha1, salt_length=8) 函数将原始密码password作为输入,以字符串形式输出密码的散列值,输出的值可
AttributeError: module ‘hashlib‘ has no attribute ‘scrypt‘调用werkzeuggenerate_password_hash函数
weixin_71894495的博客
06-14 935
werkzeug.security模块也提供了其他的哈希算法,比如pbkdf2_sha256,你可以尝试使用它来代替scrypt。只需要在调用generate_password_hash函数时指定相应的方法即可
PythonWerkzeug.security对密码进行加密和校验
彭世瑜的博客
04-19 1703
安装 pip install Werkzeug 使用示例 # -*- coding: utf-8 -*- from werkzeug.security import generate_password_hash, check_password_hash # 加密,每次执行都生成不一样的结果 print(generate_password_hash('123456')) # pbkdf2:sha256:150000$MNuGXsZ5$70327cb9dcbb591c80d5c953c683745422e7
python学习笔记(werkzeug散列密码)
mkgdjing的博客
03-14 502
为什么使用werkzeug散列密码? 设计 Web 程序时,人们往往会高估数据库中用户信息的安全性。 大多数用户都在不同的网站中使用相同的密码,获得密码之后, 访问用户在其他网站中的账户。 散列密码是什么? 用户密码的安全,关键在于不能存储密码本身,而要存储密码的散列 值。 怎么使用werkzeug散列密码? 计算密码散列值的函数接收密码作为输入,使用一种或多种加密算法转换密码,最终 得到一...
用户信息安全性设置(使用werkzeug散列密码)
dodobibibi的博客
03-12 462
1. why? 设计 Web 程序时,人们往往会高估数据库中用户信息的安全性。 大多数用户都在不同的网站中使用相同的密码,获得密码之后, 访问用户在其他网站中的账户。 2. what? 用户密码的安全,关键在于不能存储密码本身,而要存储密码的散列值。 3. how? 计算密码散列值的函数接收密码作为输入,使用一种或多种加密算法转换密码,最终得到一个和原始密码没有关系的字符序列。 核对密码时,...
python使用加盐哈希函数加密密码
编程知识分享
04-30 4615
开发网站离不开用户的注册与登录,今天来说说在网站开发的时候关于用户密码的保存方式,传统的方式有以下几种 明文存储:肉眼就可以识别,没有任何安全性。 谁用谁傻缺 加密存储:通过一定的变换形式,使得密码原文不易被识别。密码加密的几类方式: 明文转码加密:BASE64, 7BIT等,这种方式只是个障眼法,不是真正的加密。 对称算法加密:DES, RSA等。 签...
python编写密码安全性_密码安全性
weixin_39943586的博客
01-30 351
设计web程序时,人们往往会 高估数据库中用户信息的安全性,如果攻击者入侵了服务器获取了数据库,用户的安全就处在风险之中,这个风险比你想象的要大。大多数用户都在不同的网站使用相同的密码,因此即便不保存任何敏感信息,攻击者获得存储在数据库中的密码之后,也能访问用户在其他网站中的账户。若要保证数据库中的密码安全,关键在于不能存储密码本身,而要存储密码的散列值。计算密码散列值的函数接收密码作为输入,使用...
用flask开发个人博客(30)—— 用WerkZeug实现密码的加密存储
Hyman的博客
12-24 3516
一 引言         我们在进行用户的注册时,往往需要将用户输入的明文密码加密成密文进行存储。flask中使用WerkZeug模块可实现这一功能。WerkZeug中有两个方法: generate_password_hash(password)和check_password_hash(hash,password)。前者用来将明文密码加密,返回加密后的密文,用来进行用户注册。后者将明文和密文进
python密码加密
weixin_43667990的博客
03-12 2606
hashlib中的两种加密算法:sha1和MD5 sha1:全称是Secure Hash Algorithm(安全哈希算法) sha1基于md5,加密后的数据比md5多32位因此,相对md5更加安全,同时运算速度较低 # hashlib加密示例 import hashlib pwd = 'sk123' #创建sha1对象 sha1 = hashlib.sha1() #对字符进行加密,默认支持...
我现在在开发后端接口,使用的flask框架和SQLAlchemy,现在我需要写sys-user的接口,其中sys-user的model我创建好了,代码如下:from extensions import db from datetime import datetime from werkzeug.security import generate_password_hash, check_password_hash class SysUser(db.Model): __tablename__ = 'sys_user' user_id = db.Column(db.Integer, primary_key=True, autoincrement=True) username = db.Column(db.String(255), primary_key=True, nullable=False) password = db.Column(db.String(255)) real_name = db.Column(db.String(255)) email = db.Column(db.String(255)) phone = db.Column(db.String(255)) sex = db.Column(db.String(255)) status = db.Column(db.String(255), default='active') delete_flag = db.Column(db.Integer, default=0) create_time = db.Column(db.DateTime, default=datetime.utcnow) update_time = db.Column(db.DateTime, onupdate=datetime.utcnow) last_login_time = db.Column(db.DateTime) def set_password(self, password): self.password = generate_password_hash(password) def check_password(self, password): return check_password_hash(self.password, password)我需要你写一下他的接口,注意接口返回形式要按照我写的的api_response,这个的代码如下:from flask import jsonify def api_response(data=None, code=200, message='success'): return jsonify({ 'code': code, 'message': message, 'data': data }), code
最新发布
03-24
<think>好的,我现在需要帮助用户开发基于Flask和SQLAlchemy的sys-user接口。用户已经提供了模型和自定义的api_response函数。首先,我需要理解用户的需求,然后逐步构建合适的接口。 首先,检查用户提供的SysUser模型。注意到user_id和username都被定义为主键,这可能会导致问题,因为通常一个表应该只有一个主键。可能需要提醒用户这一点,但用户可能已经有自己的设计考虑,暂时先按现有模型处理。 接下来,用户要求接口符合RESTful风格,常见的接口包括增删改查。需要创建以下几个端点: 1. 获取用户列表(GET /api/users) 2. 创建新用户(POST /api/users) 3. 获取单个用户详情(GET /api/users/<user_id>) 4. 更新用户信息(PUT /api/users/<user_id>) 5. 删除用户(DELETE /api/users/<user_id>) 此外,可能还需要登录接口(POST /api/login),但用户没有提到,暂时先处理基本CRUD。 每个接口需要处理请求参数,验证数据,操作数据库,并返回适当的响应。使用api_response来统一返回格式,包括code、message和data。 对于GET /api/users,需要分页处理,避免数据量过大。查询参数可能包括page和per_page。使用SQLAlchemy的paginate方法进行分页,然后序列化结果。 创建用户时,需要处理密码哈希。用户模型中已经有set_password方法,应在创建时调用。需要检查必填字段,如username、password是否存在,否则返回400错误。同时,要确保用户名唯一,避免重复。 获取单个用户时,需要处理用户不存在的情况,返回404。 更新用户时,可能需要部分更新,因此使用request.get_json()获取数据,逐个字段更新。注意密码需要特殊处理,调用set_password。同时,更新update_time字段会自动触发,因为模型中有onupdate设置。 删除用户时,用户可能希望软删除(设置delete_flag)或硬删除。根据模型中的delete_flag字段,默认值为0,可能用户希望软删除。但当前示例中执行的是硬删除,可能需要询问用户意图,但根据问题描述,暂时按硬删除处理。 数据验证方面,每个接口需要检查必要参数,例如创建用户时需要username和password使用Flask的request模块获取JSON数据,并确保其存在。 序列化部分,需要将SysUser对象转换为字典。添加一个to_dict方法在模型中,方便转换。注意处理datetime字段,如create_time等,转换为字符串格式。 错误处理方面,捕获可能的异常,如数据库操作错误,返回500状态码。使用try-except块来确保数据库会话正确关闭。 最后,需要确保所有接口都使用api_response返回统一格式,包括成功和错误情况。例如,创建成功返回201状态码,错误返回400或404等。 现在,编写每个接口的代码,确保符合上述逻辑,并正确使用api_response。同时,注意密码哈希的处理,避免存储明文密码。测试每个接口的请求和响应是否符合预期,处理边界情况,如用户不存在、重复用户名等。</think>我将为您提供基于RESTful风格的sys-user接口实现,包含基础CRUD和注意事项。以下是分步骤实现: 1. 首先创建`user_controller.py`: ```python from flask import Blueprint, request from extensions import db from models.sys_user import SysUser from utils.api_response import api_response from datetime import datetime user_bp = Blueprint('user', __name__, url_prefix='/api/users') # 用户列表查询(带分页) @user_bp.route('', methods=['GET']) def get_users(): try: page = request.args.get('page', 1, type=int) per_page = request.args.get('per_page', 10, type=int) query = SysUser.query.filter_by(delete_flag=0) pagination = query.paginate(page=page, per_page=per_page, error_out=False) users = [user.to_dict() for user in pagination.items] return api_response({ 'total': pagination.total, 'page': pagination.page, 'per_page': pagination.per_page, 'items': users }) except Exception as e: return api_response(code=500, message=f"服务器错误: {str(e)}") # 创建用户 @user_bp.route('', methods=['POST']) def create_user(): try: data = request.get_json() if not data or 'username' not in data or 'password' not in data: return api_response(code=400, message="缺少必要字段: username或password") if SysUser.query.filter_by(username=data['username']).first(): return api_response(code=400, message="用户名已存在") user = SysUser() user.username = data['username'] user.set_password(data['password']) # 密码哈希处理 # 可选字段处理 fields = ['real_name', 'email', 'phone', 'sex'] for field in fields: if field in data: setattr(user, field, data[field]) db.session.add(user) db.session.commit() return api_response(user.to_dict(), code=201) except Exception as e: db.session.rollback() return api_response(code=500, message=f"创建用户失败: {str(e)}") # 用户详情 @user_bp.route('/<int:user_id>', methods=['GET']) def get_user(user_id): try: user = SysUser.query.filter_by(user_id=user_id, delete_flag=0).first() if not user: return api_response(code=404, message="用户不存在") return api_response(user.to_dict()) except Exception as e: return api_response(code=500, message=f"查询失败: {str(e)}") # 更新用户 @user_bp.route('/<int:user_id>', methods=['PUT']) def update_user(user_id): try: user = SysUser.query.get(user_id) if not user or user.delete_flag == 1: return api_response(code=404, message="用户不存在") data = request.get_json() if not data: return api_response(code=400, message="无有效数据") # 密码单独处理 if 'password' in data: user.set_password(data['password']) # 可更新字段白名单 allowed_fields = ['real_name', 'email', 'phone', 'sex', 'status'] for field in allowed_fields: if field in data: setattr(user, field, data[field]) db.session.commit() return api_response(user.to_dict()) except Exception as e: db.session.rollback() return api_response(code=500, message=f"更新失败: {str(e)}") # 删除用户(软删除) @user_bp.route('/<int:user_id>', methods=['DELETE']) def delete_user(user_id): try: user = SysUser.query.get(user_id) if not user or user.delete_flag == 1: return api_response(code=404, message="用户不存在") user.delete_flag = 1 db.session.commit() return api_response(message="删除成功") except Exception as e: db.session.rollback() return api_response(code=500, message=f"删除失败: {str(e)}") ``` 2. 在SysUser模型中添加序列化方法: ```python # 在SysUser类中添加 def to_dict(self): return { 'user_id': self.user_id, 'username': self.username, 'real_name': self.real_name, 'email': self.email, 'phone': self.phone, 'sex': self.sex, 'status': self.status, 'create_time': self.create_time.isoformat() if self.create_time else None, 'update_time': self.update_time.isoformat() if self.update_time else None, 'last_login_time': self.last_login_time.isoformat() if self.last_login_time else None } ``` 注意事项说明: 1. 安全规范: - 密码字段在返回时自动过滤,不包含在to_dict中 - 使用密码哈希存储(已通过set_password实现) - 更新操作使用字段白名单机制 2. 性能优化: - 使用分页查询避免全表扫描 - 使用软删除(delete_flag)代替物理删除 - 数据库操作使用事务回滚 3. 扩展建议: ```python # 可添加登录接口 @user_bp.route('/login', methods=['POST']) def login(): data = request.get_json() user = SysUser.query.filter_by(username=data.get('username')).first() if not user or not user.check_password(data.get('password')): return api_response(code=401, message="用户名或密码错误") user.last_login_time = datetime.utcnow() db.session.commit() # 生成访问令牌(需实现) access_token = generate_token(user) return api_response({'token': access_token}) ``` 4. 模型字段建议: - username字段建议添加唯一索引 - status字段建议使用枚举类型 - phone字段建议添加长度验证 5. 请求示例: ```http POST /api/users Content-Type: application/json { "username": "testuser", "password": "Test@1234", "email": "test@example.com" } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值