在 Django 站点中使用任意密码保护任意页面的最佳方法？

Question

我有一个 Django 网站，人们可以在其中上传和共享他们的文件。每个文件都有自己的页面。我想让人们能够为每个文件设置密码，这样人们只有输入正确的密码才能查看该文件的页面。所以基本上，用户将转到文件的页面，如果该文件受密码保护，用户将看到“密码”表单而不是文件，一旦正确输入密码，用户就可以看到该文件。同样重要的是，用户只需输入密码一次。

我的第一直觉是在文件模型中添加一个“密码”字段，但我不确定让用户输入密码的最佳方法，并在输入后让用户看到该文件的页面（我在想也许最好是一块饼干）。

这里有什么建议或最佳实践吗？是否有任何现有的应用程序可以实现类似的功能？

Answer 1

如果每个文件都有密码，那么将密码哈希存储在文件模型中是合理的。我强烈建议您重新使用 django.contrib.auth 中的哈希方法，而不是自行构建。

为了在登录响应之外保留用户对文件的访问，您可以使用 Django 的内置会话框架：在会话对象中构建允许用户访问的文件列表。除非您希望同时为大量文件授权用户会话，否则这将很有效。

请注意，您可以将会话设置为使用 cookie 作为后端，这也将为您提供 cookie 的加密签名，可能比手卷 cookie 更好。