【发布时间】:2013-12-11 14:38:56
【问题描述】:
我正在运行需要通过身份验证访问 mongo 的金字塔服务器。两台服务器(DB 和 Pyramid)都在同一台机器上运行。根据pyramid/pymongo 文档,我可以使用类似的URI,
uri = "mongodb://user:password@example.com/the_database"
并进行身份验证。然而,这似乎非常不安全,因为任何人以某种方式访问了金字塔代码,然后会看到与服务器用户关联的纯密码(即使它是哈希)。
缓解此问题的最佳方法是什么?
我正在考虑提示启动服务器的用户输入 Mongo 的密码。这是一个好主意吗?有人在金字塔里做过类似的事情吗?
或者我应该将密码存储在服务器中只有金字塔服务器具有读取权限的安全位置?
首选方式是什么?如果我想从另一台计算机访问 mongo 服务器怎么办?在这种情况下哪种方法更好?
你们是怎么配置的?非常感谢。
【问题讨论】:
-
在 Heroku 上也使用的一种常见模式是使用环境变量 (import os; uri = os.environ('MONGODSN'))。当然,运行金字塔的用户应该是安全的。
-
对不起,我不知道它是做什么的。你能解释/指点我吗?谢谢你:)
-
os.environ 作为 Python dict 公开来宾的操作系统环境变量 (en.wikipedia.org/wiki/Environment_variable)。因此,您的脚本可能只是假设有人将您的访问字符串和您的访问字符串放入环境变量中。
标签: mongodb authentication pyramid