django加密签名

最新推荐文章于 2022-10-02 16:22:56 发布
最新推荐文章于 2022-10-02 16:22:56 发布
阅读量526 收藏 1
点赞数
文章标签: python 数据库
原文链接:https://segmentfault.com/a/1190000010253821
版权

Sing.py 中实现了一系列的加密方式:signer 和TimestampSigner
一些加密可能需要首先在settings.py 中添加 SECRET_KEY

具体的使用方法可以使用如下:

from django.core.signing import Signer
signer = Signer()
value = signer.sign('My string')
value
'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'

如果您不希望特定字符串的每次出现具有相同的签名散列,您可以使用可选的salt参数到Signer类,解密的时候不需要传入salt 参数

signer = Signer()
signer.sign('My string')

'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'

signer = Signer(salt='extra')
signer.sign('My string')

'My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw'

signer = Signer(salt='e')
signer.sign('My string')

'My string:9v2dnmMn6i6XkGqoz1sYnKk-GjE'

signer.unsign('My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw')

'My string'

Timestamp Signer是Singer的一个子类,它将一个带符号的时间戳附加到该值。 这允许您确认在指定的时间段内创建了一个签名的值:

from datetime import timedelta
from django.core.signing import TimestampSigner
signer = TimestampSigner()
value = signer.sign('hello')
value

'hello:1NMg5H:oPVuCqlJWmChm1rA2lyTUtelC-c'

signer.unsign(value)

'hello'

signer.unsign(value, max_age=10)

...
SignatureExpired: Signature age 15.5289158821 > 10 seconds

signer.unsign(value, max_age=20)

'hello'

signer.unsign(value, max_age=timedelta(seconds=20))

'hello'

保护数据,要传递一些敏感数据,可以使用加密传动

from django.core import signing
value = signing.dumps({"foo": "bar"})
value

'eyJmb28iOiJiYXIifQ:1NMg1b:zGcDE4-TCkaeGzLeW9UQwZesciI'

signing.loads(value)

{'foo': 'bar'}

多个数据

from django.core import signing
value = signing.dumps(('a','b','c'))
signing.loads(value) ['a', 'b', 'c']

用户名的密码加密解密方式:

 加密

用户名的加密方式在Django 源码里使用了make_password() 这个方法实现
函数的原型是:
def make_password(password, salt=None, hasher='default'):

"""
Turn a plain-text password into a hash for database storage

Same as encode() but generates a new random salt.
If password is None then a concatenation of
UNUSABLE_PASSWORD_PREFIX and a random string will be returned
which disallows logins. Additional random string reduces chances
of gaining access to staff or superuser accounts.
See ticket #20079 for more info.
"""
if password is None:
    return UNUSABLE_PASSWORD_PREFIX + get_random_string(UNUSABLE_PASSWORD_SUFFIX_LENGTH)
hasher = get_hasher(hasher)

if not salt:
    salt = hasher.salt()#get_random_string
return hasher.encode(password, salt)

#这里面设计到sha256, randow.getstate(),random.speed()

random.getstate()

           (3, (2147483648, 4018322764, 577648385, 1526147929, 1680474043, 3919679311, 2889319108, 4191545603,                            2720450620, 3365467495, 3734949539, 673801099,None)

hashlib.sha256(('%s' % time.time).encode('utf-8')).digest()

       b"1=_\xaa\x90\xa4\xe9\x86au\xb0'\xfaJ\x83\xb9%\x11E\x9f\xed\x0c\x15}\x9d&\xfb\xc72\xa6Z\xcf"

def get_random_string(length=12,

                  allowed_chars='abcdefghijklmnopqrstuvwxyz'
                                'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'):
"""
Returns a securely generated random string.

The default length of 12 with the a-z, A-Z, 0-9 character set returns
a 71-bit value. log_2((26+26+10)^12) =~ 71 bits
"""
if not using_sysrandom:
    # This is ugly, and a hack, but it makes things better than
    # the alternative of predictability. This re-seeds the PRNG
    # using a value that is hard for an attacker to predict, every
    # time a random string is required. This may change the
    # properties of the chosen random sequence slightly, but this
    # is better than absolute predictability.
    random.seed(
        hashlib.sha256(
            ("%s%s%s" % (
                random.getstate(),
                time.time(),
                settings.SECRET_KEY)).encode('utf-8')
        ).digest())
return ''.join(random.choice(allowed_chars) for i in range(length))

最后结合这两个函数生成一个密文hasher.encode(password, salt)

slat 参数

默认提供了一个随机的salt 参数,因此对于同一个密码每次都会有不同的密文出现例如:

make_password('test')
'pbkdf2_sha256$36000$isQNwbk2iwg1$nVHLwSeHziSu/N2gP8QJNgAJjBb879hOdDMim++t0SU='
make_password('test')

'pbkdf2_sha256$36000$QxlN97KubUTA$U2GGmXhL3cBgVpYfwXGgW659EYV8W/MJBFzH/v6IN3A='

make_password('test')

'pbkdf2_sha256$36000$80Z9aOgA7IX9$+3lWsQvl1qENNfrxt5ThoYbStk+xh+wXbYZznqSlvPA='

解密

解密同样提供了一个方式check_password:

check_password('test','pbkdf2_sha256$36000$80Z9aOgA7IX9$+3lWsQvl1qENNfrxt5ThoYbStk+xh+wXbYZznqSlvPA=')

True

函数原型

def check_password(password, encoded, setter=None, preferred='default'):

"""
Returns a boolean of whether the raw password matches the three
part encoded digest.

If setter is specified, it'll be called when you need to
regenerate the password.
"""
if password is None or not is_password_usable(encoded):
    return False

preferred = get_hasher(preferred)
hasher = identify_hasher(encoded)

hasher_changed = hasher.algorithm != preferred.algorithm
must_update = hasher_changed or preferred.must_update(encoded)
is_correct = hasher.verify(password, encoded)

# If the hasher didn't change (we don't protect against enumeration if it
# does) and the password should get updated, try to close the timing gap
# between the work factor of the current encoded password and the default
# work factor.
if not is_correct and not hasher_changed and must_update:
    hasher.harden_runtime(password, encoded)

if setter and is_correct and must_update:
    setter(password)
return is_correct
weixin_33728708
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django 代码加密_最详细Django教程_001
weixin_32596893的博客
12-20 1861
1.新建项目+运行服务+新建appC:\code_all\Django0913>django-admin startproject bysms # 新建项目C:\code_all\Django0913\bysms>python manage.py runserver 127.0.0.1:8001 # 运行服务C:\code_all\Django0913\bysms&gt...
python Django RSA 前台加密 后端解密。
12-06
Python Django框架是一个强大的后端开发工具,而RSA(Rivest-Shamir-Adleman)则是一种广泛应用的非对称加密算法,常用于数据加密和数字签名。在这个场景中,我们将讨论如何在Django应用中实现RSA加密和解密,以便于...
django登录加密
anbuqi的博客
09-13 928
django登录加密 文章目录django登录加密1.注意保护密匙2.使用低级API3.使用salt参数4.验证时间戳值5.保护复杂的数据结构 1.注意保护密匙 当使用startproject创建一个新的Django项目时,settings.py文件将自动生成,并获得一个随机的SECRET_KEY值。这个值是保护签名数据的关键——保持这个安全非常重要,否则攻击者可以使用它生成自己的签名值。 2.使...
Django-加密签名
adminwg的博客
10-02 1219
Django-加密签名 web应用程序安全的黄金法则是永远不要信任来自不可信来源的数据。有时,通过不受信任的介质传递数据会很有用。加密签名的值可以通过不受信任的通道安全传递,只要知道将检测到任何篡改。 Django既提供了用于签名值的低级API,也提供了用于设置和读取签名Cookie的高级API,这是web应用程序中最常见的签名用途之一。
Django密码存储策略分析
bocai_xiaodaidai的博客
01-07 1401
一、源码分析 Django 发布的 1.4 版本中包含了一些安全方面的重要提升。其中一个是使用 PBKDF2 密码加密算法代替了 SHA1 。另外一个特性是你可以添加自己的密码加密方法Django使用你提供的第一个密码加密方法(在你的setting.py文件里要至少有一个方法) PASSWORD_HASHERS = [ 'django.contrib.auth.hash...
pbkdf2&sha256加密验证算法 | 密码加密
热门推荐
慌途L
11-20 1万+
pbkdf2_sha256加密验证算法 最近在改由Java取代Python验证用户登录的加密方式。Python通过pbkdf2算法和sha256算法对用户的密码进行加密,由于业务需要,转由Java方式实现。弄了许久也是终于完成了Python和Java的无缝对接。 主要使用getEncodedHash方法和encode方法,具体的加密方式根据自己的需求而定,Python的代码就不贴出来了,这里主...
Laravel开发-django-signer
08-27
Laravel开发-django-signer 用于使用时间戳签名的包(类似于django)。
Django调用支付宝接口代码实例详解
09-17
1. **安装依赖**: 使用`pip3 install`命令安装必要的库,如`rsa`,`pycryptodome`等,这些库用于处理RSA加密签名。 2. **创建支付类**: 可以创建一个名为`AliPay`的类,该类包含了初始化方法和各种支付相关的函数...
Django 中 cookie的使用
10-19
此外,Django还提供了`get_signed_cookie`方法,用于安全地读取签名的Cookie,防止篡改: ```python v = request.get_signed_cookie(key='username111', default=None, salt='', max_age=None) ``` 这里的参数`...
基于 Python Django 实现的单点登录系统.zip
最新发布
01-27
可以使用第三方库如 `django-rest-framework-simplejwt` 来处理 JWT 签名和验证。JWT 包含用户信息和过期时间,可安全地在客户端和服务器之间传输。 6. 中间件实现跨应用会话同步: 在 Django 中,可以编写中间件...
Python后台开发Django会话控制的实现
09-19
为了提高安全性,Django还提供了加密Cookie的功能,如`set_signed_cookie()`,它能对Cookie的值进行签名加密,确保数据安全。 接下来,我们讨论Django中的Session机制。Session依赖于Cookie中的sessionid,它是一个...
python-md5加密封装的函数
python_web全栈
02-02 2863
一:Md5加密封装的函数 # -*- coding:utf-8 -*- import uuid import hashlib from django.conf import settings def md5(string): """ MD5加密 """ hash_object = hashlib.md5(settings.SECRET_KEY.encode('utf-8')) hash_object.update(string.encode('utf-8')) re
django 1.8 官方文档翻译:8-5 加密签名
weixin_33898233的博客
09-16 135
加密签名 web应用安全的黄金法则是,永远不要相信来自不可信来源的数据。有时通过不可信的媒介来传递数据会非常方便。密码签名后的值可以通过不受信任的途径传递,这样是安全的,因为任何篡改都会检测的到。 Django提供了用于签名的底层API,以及用于设置和读取被签名cookie的上层API,它们是web应用中最常使用签名工具之一。 你可能会...
Minio 文件服务器搭建并与springboot 整合
炭烧的博客
08-22 4291
Minio 文件服务器搭建并与springboot 整合Minio 文件服务器介绍Minio 文件服务器搭建客户端使用Spring boot 整合遇到奇葩问题 Minio 文件服务器介绍 MinIO是为性能和s3 api而设计的,100%开源。MinIO是具有严格安全性的大型私有云环境的理想选择 要求并提供跨各种工作负载的关键任务可用性。 https://min.io/ Minio 文件服务器搭建 推荐使用docker 部署minio 从docker 仓库中下载minio镜像 docker pull min
Django自带加密模块的使用
wjy397的专栏
10-21 2414
转载地址:http://www.111cn.net/phper/python/59720.htm 但考虑到Django有用户验证模块,证明它已具备跨平台的加密模块。 首先,引入模块: 代码如下 复制代码 >>> from django.contrib.auth.hashers import make_password, check_pa
pbkdf2_sha256解密
rufengzizai521的博客
06-25 1万+
from django.contrib.auth.hashers import make_password, check_password pwd='4562154' mpwd=make_password(pwd,None,'pbkdf2_sha256') # 创建django密码,第三个参数为加密算法 pwd_bool=check_password(pwd,mpwd)# 返回的是一个bool类...
java 实现 pbkdf2_sha256 加密验证算法
一位打工仔的博客
06-22 1662
pbkdf2_sha256 加密验证算法
运维开发笔记整理-数据分页
weixin_33716941的博客
01-15 125
            运维开发笔记整理-数据分页                                        作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.创建测试数据(批量创建1000个用户) C:\Users\yinzhengjie\softwares\GitHub\DevOps>python manage.py ...
django pki服务
05-12
Django PKI服务能够轻松地创建、签名和验证数字证书,为开发者提供了一套完整的公钥基础设施。它不但能够保证数据传输的安全,还能够防止中间人攻击,确保网站的身份和可靠性,以及提高网站的用户体验。 总之,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值