需求

需要设计一个系统（采用Django），专门管理另一个系统的用户。用户登录在另一个系统中进行，那边的密码采用bcrypt进行校验，所以Django系统中密码保存也要用bcrypt加密保存。

而Django虽然自带的User中提供了Password功能（输入明文、自动生成加密字符串），但是model中却并不提供一个所谓的PasswordField。

因此，需求就是如何在自己实现的注册功能中，将明文密码用bcrypt加密保存

设计

以前没有安全方面“专业”知识累积，所以决定自己创建路由、视图、表单等组件，但是在查找资料的过程中发现了许多可用的资料。

但是提前优化是万恶之源，我没有决定中途改换技术方案，而是等待下一版再更改为更专业的方案。

创建路由、视图、表单、模板等过程都比较简单，就不在赘述了，着重讲下如何将明文密码进行加密的过程。

下载bcrypt

Python 版的 bcrypt 的 网站，安装命令：pip install bcrypt

实现

接下来，在form的 clean_password() 函数里，返回加密后的字符串。

import bcrypt

class SignUpForm(forms.Form):
    password1 = forms.CharField(
        required=True,
        widget=forms.PasswordInput(attrs={'placeholder': '输入密码', 'class': 'input pass'})
    )
    password2 = forms.CharField(
        required=True,
        widget=forms.PasswordInput(attrs={'placeholder': '再次输入密码', 'class': 'input pass'})
    )


    def clean_password2(self):
        cleaned_data =  super(SignUpForm, self).clean()
        password2 = cleaned_data.get('password2')

        return bcrypt.hashpw(password2, bcrypt.gensalt())

在views里取值时用form.cleaned_data['password2']即可取到加密后的字符串，验证功能在需求部分已经做过介绍，不需要django这部分负责。

排坑

我的django是基于python3的，在python2里测试生成加密字符串的过程没有问题，但是在python3会报如下错误：

Unicode-objects must be encoded before hashing

查找了下原因，是因为python3里，字符串有str和bytes两种形态，所以需要改成

bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt()).decode('utf-8')

另外，bcrypt有多种标准，我们需要的是2a，所以还要改成：

bcrypt.hashpw(password2.encode('utf-8'), bcrypt.gensalt(prefix=b'2a')).decode('utf-8')

这样就得到正确结果了。

结果

可以看到password的值已经是bcrypt加密后的字符串了。

相关资料

• 2a版本的bcrypt生成和验证
• Unicode-objects must be encoded before hashing 排错资料

本文作者： Yarving Liu
本文链接： http://yarving.historytale.co...
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处！