那些遇到过的问题

Django - 使用电子邮件域并且没有密码的auth用户

1 security authentication django

我要求更改标准的Django电子邮件和密码登录,以允许任何用户无需密码登录,但仅限于他们在某个域上...例如somebody@example.com ...允许用户进入由于他们在正确的域名.

有什么建议?

Ste*_*lim 5

假设"在正确的域上"意味着他们拥有相关域的电子邮件地址,您可以编写一个自定义身份验证后端,

  • 外观检查,有一个单一的与电子邮件地址的用户(不超过一个,这也将意味着更新注册流程,以确保电子邮件地址唯一保证,再加上可能是检查你的重复数据块是否已经,以防万一)
  • 获取该用户并拆分其电子邮件地址的域以根据列表/允许的无密码所需域名进行检查
  • 将用户从您的自定义身份验证后端返回,就好像已经满足正常的密码检查一样,即使从未使用check_password()检查过.Django文档和各种djangosnippets.org片段显示了如何执行此操作.

此外:

  • 您将不得不为管理员登录视图使用新的/重写的身份验证表单类,该类不需要密码字段(但仍然显示非特殊登录),因此如果没有输入密码,它不会抱怨.

最后:

  • 得到宗教,如果你还没有
  • 向你的G/god祈祷,没有其他人知道允许使用电子邮件地址进行无密码认证的网站,特别是他们也没有得到有问题的电子邮件地址,特别是如果您的网站包含有关第三方的任何个人数据或必须符合PCI-DSS等,等等.
  • 因为上面的原因,强烈考虑对您的客户/用户/经理/请求此人的人说"不".使用密码是有原因的.

或者,最后,最后:

  • 跳过以上所有内容并告诉您的客户/用户/经理一些有关各种密码存储工具的信息 - 例如这个这个

  • +1给客户说**不!**除非这件事完全在公司的防火墙内部,或者您并不关心访问方法是否发布在133thaxors.org上,否则它需要正确管理帐户和密码. (2认同)

归档时间:

查看次数:

568 次

最近记录:

14 年,2 月 前
相关归档
django - 如何在django 1.3中设置DecimalField的默认值? 17
在Django Rest Framework视图中测试身份验证 - 无法在测试时进行身份验证 15
Django休息框架用于ViewSet方法的permission_classes 12
如何使用Hyde生成新内容? 11
在php文件中存储重要的密钥 10
在virtualenv中安装的应用程序的makemessages 10
向所有人公开django media_url不是不安全吗? 9
如何仅限制从我网站中的页面访问某些PHP页面? 7
有关libc指针加密的问题 5
如何强制只匿名访问控制器操作? 5
难疑归档
"yield"关键字有什么作用? 9664
适用于Android UserManager.isUserAGoat()的用例? 3506
为什么char []比字符串更适合密码? 3298
如何使用Maven创建具有依赖关系的可执行JAR? 2276
在Windows命令行上是否有相应的"哪个"? 2231
如何决定何时使用Node.js? 2198
如何在Python中小写一个字符串? 1908
使用JavaScript在下拉列表中获取选定的值? 1660
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
如何从另一个分支中获取一个文件 1154