Django应用程序中的密码字符串比较

根据设计,在任何Django应用程序中获取用户密码是不可能的.

我正在change password为我的Django应用程序实现一个功能,其中一个要求是确保用户不会保留与之前的密码相同的新密码.

我不能在这里进行字符串比较,那么在这种情况下,最佳模式是什么？

这就是我的想法:访问我的change password功能需要重新验证(即用户必须再次输入传递).我可以想象在此时将密码字符串保存在会话变量中(例如session.request['old_password']),然后将此会话变量与用户设置的新密码的字符串进行比较？这种模式有任何安全问题吗？

您不需要在会话中存储旧密码,也不应该.因为会话数据保存在会话存储中,并且在更改密码的那段短暂时间内,它以纯文本格式存在.从理论上讲,攻击者可以使用数据库事件或触发器来捕获这些纯文本密码对象.更好的方法是使用django的内置密码功能.

check_password(password,encoded)如果您想通过将纯文本密码与数据库中的散列密码进行比较来手动验证用户身份,请使用便捷函数check_password().它需要两个参数:要检查的纯文本密码,以及要检查的数据库中用户密码字段的完整值,如果匹配则返回True,否则返回False.

在您的情况下,您需要创建一个自定义表单,它将此方法作为其clean()方法的一部分进行调用.如果上面的函数调用返回true,则需要引发验证错误,说明正在重用旧密码.