似乎安全模型适用于非常小的项目,但在security.py中编写所有可能的注册用户散列密码可能不太可行。您是否知道扩大金字塔认证的任何示例,或者通过金字塔的安全方案调用我自己的安全信息数据库是否有任何好处?金字塔内置的认证/授权可以实现复杂的安全方案吗?
5
A
回答
4
不知道你的需求是什么或者你的意思是“扩大安全性”,但金字塔身份验证策略非常灵活。您需要了解它不保留用户和密码,但它仅仅提供了一种从传入请求获取用户标识符的机制。例如,AuthTktAuthenticationPolicy通过使用记住方法设置的cookie来跟踪用户标识。
您从该用户标识导出的有意义的信息完全取决于您,并且是特定于应用程序的。
所以真的你可能想问的问题是你的应用程序可以“扩大安全性”。
我无法向您展示代码,因为它是专有的,但我需要在同一个应用程序中支持openid,http auth和典型的数据库支持的用户存储,并且用户存储在不同数据库碎片中的额外复杂功能并且碎片不能立即确定。它需要很少的代码来支持这一点。
8
我不认为项目的大小与安全模型有关。要么你想要一个简单的或复杂的安全模型。两者都可以应用于任何规模的项目。金字塔的一个优点是其可扩展性。
为什么要存储散列密码security.py
? (cmiiw在这里,我可能误解了)如果你阅读某人的代码,这可能只是一个例子。在真实应用程序中,您可以将它们保存在您选择的存储/持久性系统中。
同样,我不明白“扩大认证”的含义。我的猜测是,你需要一些工作的例子:
- tutorial from the docs
- shootout application:与形式
- pyramid auth demo小和很好的例子:复杂/精细/行级权限
- pyramid apex:第三方身份验证(谷歌,twitter等)与velruse,形式等
- pyramid registration:未完成的图书馆;你可以从中窃取一些想法
3
+0
哇!漂亮的脚本你到了那里..简单但功能。! – Augiwan
相关问题
- 1. 储存项目的金字塔授权
- 2. 金字塔中的临时URL的身份验证/授权
- 3. WCF服务安全认证和授权
- 4. 金字塔授权 - 自定义视图
- 5. 在金字塔中使用金字塔认证
- 6. PHP中的金字塔方案公式?
- 7. 如何检查金字塔(塔2)中授权失败的权限?
- 8. 金字塔认证问题(记住+ authenticated_userid)
- 9. 谷歌的App Engine(Java)的Web服务认证/授权/安全
- 10. 认证/授权的实体框架
- 11. Grauman和Darrells金字塔匹配内核 - 可以实际匹配吗?
- 12. 使用AzMan实现的授权方案的自动化测试
- 13. 将ElasticSearch实现为金字塔
- 14. ASP.NET安全身份验证和授权的最佳实践
- 15. REST认证/授权
- 16. Spring安全授权
- 17. Spring安全授权
- 18. ASPX安全设置复杂
- 19. WCF安全许可证方案
- 20. 身份验证和授权 - 新安全
- 21. 使用数据库弹簧安全认证和授权
- 22. 帮助MVC认证/授权解决方案
- 23. 金字塔和烧杯:ValueError:不安全的字符串泡菜
- 24. 金字塔复选框
- 25. 可以在CakePHP中做的塔/金字塔Mako风格模板?
- 26. 您可以在金字塔的MAKO文件中设置会话变量吗?
- 27. 我可以在同一个弹簧安全配置中放置3种不同的身份验证方案吗?
- 28. 业务逻辑层是否应该实现授权和认证?
- 29. 在asp.net中实现证书授权
- 30. 金字塔框架(SQL炼金术) - 使表格全球可用
谁主张在security.py中存储密码? –
https://docs.pylonsproject.org/projects/pyramid/1.1/tutorials/wiki2/authorization.html在security.py – nnythm
中有一个{key,raw_password}字典的非常简单的演示,我很明白你的观点。但是对于熟悉python的人来说,想象一下groupfinder查询数据库还是别的什么呢? –