Welche authentifizierungs Lib
Solange 90% der Seite einen User die Email-Adresse (und über email lässt sich dann das passwort ändern…) ohne Passworteingabe ändern lassen bringt es genug nichtsDauerbaustelle hat geschrieben:Er kennt aber das Plaintext-Passwort nicht. Und wenn man abwägt, dass man mit Plaintext-Auth keine Vorteile und mit Hashauth mindestens diesen einen, dann weiß man auch schon, was man verwenden sollte
-
lunar
Der Javascript-Code, welchen der Client ausführt, ist nicht unbedingt identisch mit dem, den der Server versendet hat ... denn dazwischen sitzt ja der "man in the middle", der daran fleißig herum-manipulieren kann. Wenn der Angreifer nun wirklich am Passwort interessiert ist, wird er natürlich dafür sorgen, dass der Client Javascript erhält, welches das Passwort im Klartext sendet.Dauerbaustelle hat geschrieben:Wo ist das Problem?
Edit: Das versprochene Beispiel zur Verwendung von repoze.what.
Morgen,lunar hat geschrieben:Edit: Das versprochene Beispiel zur Verwendung von repoze.what.
ich gucke mir gerade auch mal Authentifizierung an, und da ist so ein Beispiel ja immer schön, aber bevor ich mich jetzt total verrenne: soll das Beispiel voll funktionsfähig sein? Bei mir klappt das mit dem Login nämlich nicht.
Oder fehlt da noch ein wichtiger Teil?
Das if not_anonymous().is_met(request.environ): gibt (bei mir) immer False zurück, auch wenn validate_password True ist.
Habe ich da irgendwas übersehen?
Schon mal danke...
-
lunar
Als ich das Beispiel erstellt habe, hat es funktioniert. Mittlerweile funktioniert es auch bei mir nicht mehr.
Ich habe seitdem nicht mehr mit repoze.what gearbeitet, und es hat sich in der Zwischenzeit offenbar einiges geändert. Teile der Bibliothek haben schon lange keine Änderung mehr erfahren, bei wichtigen Plugins, die auch im Beispiel Verwendung finden, ist die Website nicht mehr existent, usw.
Ich würde repoze.what heute nicht mehr einsetzen und auch nicht mehr empfehlen. Insofern habe ich auch keine große Lust, das Beispiel zu korrigieren. Da es offensichtlich fehlerhaft ist, habe ich es gelöscht …
Suche Dir eine andere Bibliothek.
Ich habe seitdem nicht mehr mit repoze.what gearbeitet, und es hat sich in der Zwischenzeit offenbar einiges geändert. Teile der Bibliothek haben schon lange keine Änderung mehr erfahren, bei wichtigen Plugins, die auch im Beispiel Verwendung finden, ist die Website nicht mehr existent, usw.
Ich würde repoze.what heute nicht mehr einsetzen und auch nicht mehr empfehlen. Insofern habe ich auch keine große Lust, das Beispiel zu korrigieren. Da es offensichtlich fehlerhaft ist, habe ich es gelöscht …
Suche Dir eine andere Bibliothek.
-
lunar
Ich habe keine Ahnung, welche Bibliothek geeignet wäre, vor einem Jahr habe ich mich das letzte mal überhaupt mit diesem Thema bzw. Webprogramming im Allgemeinen beschäftigt … ich weiß nicht mal, welche Bibliotheken es überhaupt noch gibt.
-
Hyperion
- Moderator
- Beiträge: 7478
- Registriert: Freitag 4. August 2006, 14:56
- Wohnort: Hamburg
- Kontaktdaten:
Hier im Forum wurde öfter auch mal barrel empfohlen - aber da stimmt die URL von PYPI nicht mehr.
Ansonsten wäre Authkit evtl. eine Option? Da scheint sich auch in Sachen Doku aktuell einiges zu tun.
Ansonsten wäre Authkit evtl. eine Option? Da scheint sich auch in Sachen Doku aktuell einiges zu tun.
Ich habe mir mal Authkit und jetzt auch bottle angesehen, klappt aber auch noch nicht so einfach, wie ich es erhofft hatte: http://www.python-forum.de/post-163248.html