【发布时间】:2020-12-19 00:10:52
【问题描述】:
如果您的 web 应用程序存在漏洞,您必须更换其 SECRET_KEY。 用户还能用密码登录吗?
换句话说,“密码散列”过程是否依赖您的 webapp SECRET_KEY 来编码/解码密码? 如果是这样,是不是使之前设置的所有密码都失效了(更改了SECRET_KEY之后)?
【问题讨论】:
标签: python security flask werkzeug password-hash
【发布时间】:2020-12-19 00:10:52
【问题描述】:
不,Flask 不会散列您的密码。你做。在您使用 SECRET_KEY 对密码进行哈希处理的不太可能的情况下,您的密码可能无法使用。但你通常不会这样做。通常您使用 werkzeug 的 generate_password_hash 或使用诸如 bcrypt 之类的东西进行哈希处理
【讨论】:
-
我正在使用 werkzeug 的库来执行此操作。但它不是依赖于应用程序的秘密吗?如果不是,它是如何工作的?
-
@Idos:来源:github.com/pallets/werkzeug/blob/…