草庐IT

SECURITY

全部标签

python - view_config 装饰器中的多个权限?

我正在为基于Pyramid框架的Web应用程序配置访问控制。我正在使用@view_config装饰器为我的View可调用对象设置权限。我有两个权限,即'read'和'write'。现在,我希望某些View需要两种权限。我无法弄清楚如何使用view_config执行此操作-我是否遗漏了什么,或者是否有其他方法可以执行此操作? 最佳答案 授予读写权限。每个View获得一个且仅一个权限,但每个主体可以映射到多个权限。 关于python-view_config装饰器中的多个权限?,我们在Stac

python - Django 和 Deployment 中的私有(private)设置

我正在使用Django并使用Ansible部署我的堆栈。最后,我使用Fabric部署我的Django项目,从GitHub拉取我的代码。我的问题:处理Django的settings.py文件中的私有(private)设置(例如电子邮件或S3的密码)的最佳做法是什么?目前,在重新启动应用程序服务器之前,我在部署脚本的末尾将settings_production.py从我的机器文件传输到生产机器。此文件包含我没有作为repo的一部分放入settings.py的设置。在我的settings.py的末尾,我添加了类似的内容try:fromsettings_productionimport*exc

c# - 将 C# REST API 安全地暴露给脚本语言,例如 Python

我的C#RESTAPI是从AngularJS网络应用调用的。我通过对用户进行身份验证并确保用户是特定Windows组的一部分来保护WebAPI。现在客户想要从脚本(Python)调用API的选项。我该如何实现?我是否应该让他们在json调用中传递用户名和密码? 最佳答案 如果您可以轻松地在Python中扩充header,我建议您使用token身份验证。Microsoft不直接提供这种类型的身份验证,而是通过OWIN项目提供。使用起来并不难,但您需要先了解它的工作原理。有一个很好很全面的教程here.基本上,您通过提供用户名/密码获得

python - 将 Flask-security 实例导入我的 View 模块会破坏我的 webapp

我正在为电子商务网站编写注册/登录系统,并使用flask-security(http://pythonhosted.org/Flask-Security/)来处理注册功能。部分基本设置需要以下signup.py模块:fromflask.ext.securityimportSQLAlchemyUserDatastore,Securityfromapp.modelsimportUser,Rolefromappimportapp,db#SetupFlaskSecurityuser_datastore=SQLAlchemyUserDatastore(db,User,Role)security=

python - 没有 SHA-1 的 werkzeug.security generate_password_hash 替代方案

我使用werkzeug.security中的generate_password_hash对我的密码进行散列和加盐。我最近看到thisarticleaboutSHA-1collisions.werkzeug.security使用SHA-1,因为它不再那么安全,我想要一个替代方案。如何在不依赖SHA-1的情况下散列密码?fromwerkzeug.securityimportgenerate_password_hashgenerate_password_hash(secret) 最佳答案 在generate_password_hash中使

python - 序列化 MD5 计算状态并稍后恢复?

我想序列化/反序列化md5上下文。但我不知道如何在Python中做到这一点。我想做的伪代码。importmd5#Starthashgenerationm=md5.new()m.update("Content")#Serializemserialized_m=serialize(m)#Inanotherfunction/machine,deserializem#andcontinuehashgenerationm2=deserialize(serialized_m)m2.update("Morecontent")m2.digest()有用于此的C++库。有用于Python的吗?为什么md

python - 在 Python PyQt 桌面应用程序中安全地验证和授权用户

我开发的应用程序规定该软件应防止未经授权的访问。为了实现这一点,我使用了基于用户和密码的身份验证以及两个可用角色-标准用户和管理员。这完全是用Python实现的,使用SQLAlchemy与数据库交互,使用PyQt作为用户界面。输入的密码使用brcypt进行哈希处理,然后与数据库中相应用户名的哈希值进行比较(Web服务中使用的标准身份验证技术)。身份验证成功后,一个名为self.authenticatedUser的变量包含User类的SQLAlchemy实例。此实现的结果是任何人都可以编辑登录方法以简单地直接查询数据库以查找用户名为admin的User类型的对象,并分配返回的User到s

Python:使用 chroot 和 chjail 保护不受信任的脚本/子进程?

我正在编写一个基于Python的Web服务器,它应该能够执行“插件”,以便可以轻松扩展功能。为此,我考虑了拥有多个文件夹(每个插件一个)和多个shell/python脚本的方法,这些文件夹以可能发生的不同事件的预定义名称命名。一个例子是有一个on_pdf_uploaded.py文件,它在PDF上传到服务器时执行。为此,我将使用Python的subprocess工具。为了方便和安全,这将允许我使用Unix环境变量来提供更多信息并设置进程的工作目录(cwd),以便它可以访问正确的文件而无需找到它们的位置。由于插件代码来自不受信任的来源,我希望尽可能确保它的安全。我的想法是在子进程中执行代码

Spring Security:身份验证令牌Authentication介绍与Debug分析

在SpringSecurity中,通过Authentication来封装用户的验证请求信息,Authentication可以是需要验证和已验证的用户请求信息封装。接下来,博主介绍Authentication接口及其实现类。AuthenticationAuthentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体):packageorg.springframework.security.core;importjava.io.Serializable;importjava.security.Princi

python - 如何列出静态链接的 python 版本中可用的所有 openssl 密码?

在python2.7.8到2.7.9升级中,ssl模块由using改为_DEFAULT_CIPHERS='DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'到_DEFAULT_CIPHERS=('ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+HIGH:''DH+HIGH:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+HIGH:RSA+3DES:ECDH+RC4:''DH+RC4:RSA+RC4:!aNULL:!eNULL:!MD