python – 滚出Web认证系统

我正在建立一个需要用户认证和授权的站点.我最初的想法是使用Flask框架编写应用程序.但是,I learned that Flask doesn’t have a built in authentication system.它有一个扩展烧瓶登录,但我没有得到任何确认这个扩展是否写得好.我已经看到,认证错误很容易.

>切换到像Django或web2py这样的内置认证系统的好主意呢?
>好的网络程序员通常选择使用经过验证的真实身份验证系统,而不是试图推出自己的身份验证系统?
有没有一个很好的指南来展示建立认证/授权系统的最佳实践?

多谢你们!

如果您要向您的网站添加用户登录功能(即身份验证和授权),请使用现有的框架.除非您是安全专家,否则写入安全系统的概率接近0.这适用于您编程的语言,无论您使用的框架如何.

不幸的是,我已经看到人们回答这个问题如下:“这不是一个很难,有趣的代码,作为一个初学者,你需要一个地方存储你的数据(让我们说一个mysql数据库)你应该存储ENCRYPTED版本密码等等“这个答案是完全不正确的.

有免费的认证框架可用,使用它们.例如,Django和web2py具有内置的身份验证系统.许多框架不附带内置认证(例如Flask,webpy);这并不意味着你应该推出自己的框架.这只是意味着你应该找到第三方认证软件.对于Flask,有Flask-login.

所以,我原来的问题的答案是:

1.)是,或集成经过验证的第三方软件系统.

2.)是的,最佳做法说不要写你自己的认证系统.使用已经建成的.

3.)您不需要建立认证系统的指南,因为您不应该构建一个认证系统.但是,OWASP是一个很好的安全资源.

这是一个简短的总结:
不要写自己的认证系统.使用受信任的预构建认证系统.如果任何人对于可以与Python一起使用的身份验证系统有任何建议,请随时发布.

翻译自:https://stackoverflow.com/questions/10095987/rolling-out-a-web-authentication-system

转载注明原文:python – 滚出Web认证系统