10
我开发的应用程序规定软件应防止未经授权的访问。为了实现这一点,我使用了基于用户和密码的身份验证,并提供两种可用的角色 - 标准用户和管理员。在Python PyQt桌面应用程序中安全地认证和授权用户
这是完全用Python实现的,通过使用SQLAlchemy与数据库PyQt进行用户界面交互。
使用brcypt对输入的密码进行散列,然后将其与相应用户名(Web服务中使用的标准认证技术)的数据库中存在的散列进行比较。
成功验证后,名为self.authenticatedUser的变量包含类User的SQLAlchemy实例。
这个实现的结果是任何人都可以编辑的登录方法简单,直接在数据库中查询User类型的对象与用户名admin和User返回SQLAlchemy的实例分配给self.authenticatedUser和宾果黑客可以访问系统。
因为我分发这个用python编写的软件,黑客(或任何类型的程序员)要关闭身份验证机制只需几分钟。此外,我不能在这里使用Web服务通过获取登录登录令牌进行身份验证或授权,因为该软件将在具有air gap的环境中使用。
是否有任何具体的方式来实现这个以一种非常安全的方式?
- 使用本地MySQLDatabase
- 使用安全(比较难于逆向工程很可能是合适的)机制。
您可以考虑将[PyInstaller](http://www.pyinstaller.org/)作为操作系统二进制文件进行分发。 SQLAlchemy和PyQt位于受支持的软件包列表中。 PyInstaller甚至支持PyCrypto。 –