Django使用bcrypt生成密码

需求

须要设计一个系统（采用Django），专门管理另外一个系统的用户。用户登陆在另外一个系统中进行，那边的密码采用bcrypt进行校验，因此Django系统中密码保存也要用bcrypt加密保存。

而Django虽然自带的User中提供了Password功能（输入明文、自动生成加密字符串），可是model中却并不提供一个所谓的PasswordField。

所以，需求就是如何在本身实现的注册功能中，将明文密码用bcrypt加密保存

设计

之前没有安全方面“专业”知识累积，因此决定本身建立路由、视图、表单等组件，可是在查找资料的过程当中发现了许多可用的资料。

可是提早优化是万恶之源，我没有决定中途改换技术方案，而是等待下一版再更改成更专业的方案。

建立路由、视图、表单、模板等过程都比较简单，就不在赘述了，着重讲下如何将明文密码进行加密的过程。

下载bcrypt

Python 版的 bcrypt 的 网站，安装命令：pip install bcrypt

实现

接下来，在form的 clean_password() 函数里，返回加密后的字符串。

import bcrypt

class SignUpForm(forms.Form):
    password1 = forms.CharField(
        required=True,
        widget=forms.PasswordInput(attrs={'placeholder': '输入密码', 'class': 'input pass'})
    )
    password2 = forms.CharField(
        required=True,
        widget=forms.PasswordInput(attrs={'placeholder': '再次输入密码', 'class': 'input pass'})
    )


    def clean_password2(self):
        cleaned_data =  super(SignUpForm, self).clean()
        password2 = cleaned_data.get('password2')

        return bcrypt.hashpw(password2, bcrypt.gensalt())

在views里取值时用form.cleaned_data['password2']便可取到加密后的字符串，验证功能在需求部分已经作过介绍，不须要django这部分负责。

排坑

个人django是基于python3的，在python2里测试生成加密字符串的过程没有问题，可是在python3会报以下错误：

Unicode-objects must be encoded before hashing

查找了下缘由，是由于python3里，字符串有str和bytes两种形态，因此须要改为

bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt()).decode('utf-8')

另外，bcrypt有多种标准，咱们须要的是2a，因此还要改为：

bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt(prefix=b'2a')).decode('utf-8')

这样就获得正确结果了。

结果

能够看到password的值已是bcrypt加密后的字符串了。

相关资料

• 2a版本的bcrypt生成和验证
• Unicode-objects must be encoded before hashing 排错资料

本文做者： Yarving Liu
本文连接： http://yarving.historytale.co...版权声明： 本博客全部文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处！