我有一个遗留的2010 Pylons应用程序,我想用一个更新的Django替换。
在 Django 中,我的理解是哈希密码中使用的 Salt 是配置文件中的(我错了,纠正了(。SECRET_KEY。如果我错了,请纠正我。很容易找到。
无论如何,由于Django中使用的哈希算法不同,该公司并不热衷于重置每个人的密码。所以我打算改变Django的以匹配Pylons的,或者找到一种方法来解密Pylons散列的,并在Django的下重新加密。
问题是在查看文档并在谷歌上搜索后,我不知道 Salt 在 Pylons 应用程序中的位置。有人有想法吗?
在金字塔(或塔架(中使用盐没有单一的方法。将密码哈希存储/检索到数据存储的实现留给应用程序代码。
这给了你很大的自由。
一种方法可能是在 Django 中重现代码并继续使用它作为你的哈希算法,因为它可能是安全的。一个快速修复或概念验证可能是安装 django 并从中导入代码(尽管如果许可证允许,我会亲自复制粘贴代码的一小部分,或者只是重写它(。您需要的哈希部分一旦剥离到最低限度,可能少于 15 行。
另外,我不建议按照您的问题评论中的建议进行操作:在用户登录时迁移密码。因为您将永远使用旧密码,并且必须保留处理它们的代码,以及处理新密码的新代码以及迁移代码。