【发布时间】:2020-05-08 11:09:24
【问题描述】:
我们正在用 Django 重建旧的分析网站。我们的旧网站是用 LAMP 堆栈构建的。我们所有帐户的用户名和密码都是未经哈希处理的。
现在我想将所有这些用户名和密码迁移到我们的 Django 网站。我们所有的用户都应该能够使用相同的用户名和密码登录到新的 Django 网站。 有人可以建议一些最佳实践来做到这一点吗?如何有效地实现这一目标?
【问题讨论】:
标签: django django-authentication
【发布时间】:2020-05-08 11:09:24
【问题描述】:
我们所有的帐户都是未经哈希处理的
请不要这样做。 Django 专为安全而设计。默认情况下,Django 使用带有 SHA256 哈希的 PBKDF2 算法。
因此,在数据迁移过程中,您必须通过哈希函数传递您的纯文本密码,并将经过哈希处理的密码保存到数据库中。
通过应用上述方法,您无需强制用户重置密码。
【讨论】:
最简单的解决方案是将所有用户帐户从旧平台导出到 Django auth_users 表中。使用 python 脚本或 SQL tricker-y poker-y。
虽然从用户的角度来看,这种方法需要更多的工作,但它是最安全的选择(尤其是因为您声明密码未加密)。
在所有用户名/电子邮件都在新表中之后,我(个人)不会为那些迁移的用户帐户设置密码。相反,请确保您已设置 django password reset screens(这是 django 内置的)。然后,您可以让用户重置他们自己的密码,从而允许他们访问新应用程序。
【讨论】: