Pyramid 内置的身份验证/授权可以实现复杂的安全方​​案吗？

Question

看起来安全模型适合非常小的项目，但是在 security.py 中写入所有可能的注册用户的哈希密码可能是不可行的。您是否知道扩大 Pyramid 身份验证的任何示例，或者通过 Pyramid 的安全方案调用我自己的安全信息数据库有什么好处吗？

Answer 1

我不认为项目的规模与安全模型有关。您想要一个简单或复杂的安全模型。两者都可以应用于任何规模的项目。 Pyramid 的优点之一是它的可扩展性。

为什么要将散列密码存储在 security.py 中？ （cmiiw 这里，我可能误解了）如果你在某人的代码上读到这个，那可能只是一个例子。在真实的应用程序中，您将它们保存在您选择的存储/持久性系统中。

再说一次，我不明白你所说的“扩大身份验证”是什么意思。我猜你想要一些工作示例：

• 来自文档的教程< /a>
• shootout 应用程序：带有表单的小而好的示例
• 金字塔身份验证演示：复杂/粒度/行级权限
• 金字塔顶点：使用 velruse 的第 3 方身份验证（google、twitter 等），表单等
• 金字塔注册：未完成的库；你可以从中窃取一些想法

Answer 2

不知道您的需求是什么，也不知道“扩大安全性”是什么意思，但金字塔身份验证策略非常灵活。您需要了解，虽然它不维护用户和密码，但它仅提供一种从传入请求中获取用户标识符的机制。例如， AuthTktAuthenticationPolicy 会跟踪您使用记住方法设置的 cookie 的用户 ID。

您从该用户 ID 中获得哪些有意义的信息完全取决于您，并且是特定于应用程序的。

因此，您可能真正想问的问题是您的应用程序能否“扩展安全性”。

我无法向您展示代码，因为它是专有的，但我需要在同一应用程序上支持 openid、http auth 和典型的数据库支持的用户存储，而且用户存储在不同的数据库分片中并且分片可以额外增加复杂性不能立即确定。只需很少的代码即可支持这一点。

Answer 3

我最终为自己构建了一些东西，如果您碰巧使用 MongoDB，它可以使身份验证变得更容易一些。

https://github.com/mosesn/mongauth

它没有内置到金字塔中，但很容易挂钩足够的。一切都非常透明。