目标:使用RESTful服务安全且安全地更新用户密码。RESTful更新密码
我有点困惑的工作流程,采用最佳实践,应该是什么:
1)更新了谁知道有现有的密码,用户密码
2)设密码如果用户忘记了。
3.)URIs(资源)是RESTful吗?为了这个Web应用程序的目的,我只需要GET和POST进行更改。
我相信我的代码可能是多余的。密码更新方法(如下所示)未正确更新密码。它正在改变它,但是当我尝试使用在new_password
中设置的新密码登录时,密码不匹配。我同样按照Michael Merickel的这个STACKs answer来更新。
用户= DBSession.query(用户).filter_by(电子邮件=电子邮件)。首先() 如果用户: user.password的= NEW_PASSWORD
谢谢你的任何见解/输入。我是新手,想要正确编码。
所有这一切都是通过HTML而不是JSON。
软件:Python的2.7.9,1.5.7金字塔,SQLAlchemy的1.0.9
资源: __init__.py
config.add_route('users', '/users')
config.add_route('user', '/users/{id:\d+}/{login}') #/{login} added login
config.add_route('reset_password', '/users/{username}/reset_password')#reset
config.add_route('new_password', '/users/{username}/new_password')#new
config.add_route('save_password', '/save_password')#new
views.py
#http://0.0.0.0:6432/users/dorisday/reset_password <--like this
@view_config(route_name='reset_password', renderer='templates/password_recovery.jinja2')
def forgot_password(request):
if request.method == 'GET':
username = request.params['username']
if username is not None:
user = api.retrieve_user(username)
return {}
#http://0.0.0.0:6432/users/macycat/new_password <--like this
@view_config(route_name='new_password', request_method='GET', renderer='templates/new_password.jinja2')
def new_password(request):
logged_in_userid = authenticated_userid(request)
if logged_in_userid is None:
raise HTTPForbidden()
user = api.retrieve_user(logged_in_userid)
return {'user': user.username}
@view_config(route_name='save_password', request_method='POST', renderer='templates/new_password.jinja2')
def save_password(request):
with transaction.manager:
logged_in_userid = authenticated_userid(request)
if logged_in_userid is None:
raise HTTPForbidden()
user = api.retrieve_user(logged_in_userid)
if 'form.submitted' in request.params:
password = request.params['old_password']
new_password = request.params['new_password']
confirm_password = request.params['confirm_password']
if new_password == confirm_password:
continue
if user is not None and user.validate_password(password): #encrypted way of checking password from DB
user.password = new_password
message = 'Whoops! Passwords do not match.'
transaction.commit()
raise HTTPSeeOther(location=request.route_url('login'))
return {'message': message, 'new_password': new_password}
散列密码在SQLALCHEMY DB方案中,如下所示:
Storing and validating encrypted password for login in Pyramid
你应该使用一些认证(OAuth的认证可以和它依然宁静)担心这个......你应该也没有实际更改密码,但通过电子邮件发送相关电子邮件帐户链接到“更改密码”类型的东西 –
@JoranBeasley我正在使用金字塔的身份验证代码进行登录。至于重置密码,我不知道该怎么做。你能指出我的东西是不是Django,因为我使用SQLAlchemy和Pyramid。也许例如伪代码?作为蓝图,这将非常有帮助。还是链接?谢谢!!! – thesayhey