Djangoのパスワードハッシュアルゴリズムで_PyramidのWebアプリケーション作った.pdf

C98d379da6e5517afff697a6c5615e68?s=47 mizzsugar
May 19, 2020
Programming
0
92

 Djangoのパスワードハッシュアルゴリズムで_PyramidのWebアプリケーション作った.pdf

C98d379da6e5517afff697a6c5615e68?s=128

mizzsugar

May 19, 2020
Tweet

More Decks by mizzsugar

See All by mizzsugar
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
3
1.6k
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
0
1k
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
4
430
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
2
160
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
0
570
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
1
73
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
0
130
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
1
610
C98d379da6e5517afff697a6c5615e68?s=48 mizzsugar
2
1.3k

Other Decks in Programming

See All in Programming
3cfad86677c5966ecfe9b81955fa3489?s=48 youkan2002
0
260
B3f560d34c14a9113e5024bc34ac26a0?s=48 heyitsmohit
1
110
26e1ba9a02729b2d6013604135221aae?s=48 yhara
0
150
Dcbf2269af2483cabf43128ad1718c11?s=48 grapecity_dev
0
160
Defdf943f6e9bfc3d3cd856d9d9e0f9b?s=48 takutakahashi
1
440
Cfbe23392787cb3ad4689c5f72463fcc?s=48 makicamel
1
740
993ef638264def4334358f986fb4a91d?s=48 uhyo
1
380
8b0e9a3684bd29ecece29db2582e38ae?s=48 norioikedo
0
250
44f37c1fe3a6a56376bb41a338741355?s=48 ahiru
3
290
6139fd48daa26e786794598c4a6b546a?s=48 ninjinkun
2
320
A030c34a2bc0d0610b4d87f8c56a2ab7?s=48 masatomix
0
110
023b04c98f39cc041293d780352432ff?s=48 koic
4
1.6k

Featured

See All Featured
15f2b8221f247985a27a627d2ece72f0?s=48 pauljervisheath
193
15k
4262b9cfacfb6b2c77f23e1d0310cd3e?s=48 myddelton
105
10k
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
5
530
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
82
4.6k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
11
490
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
91
2.8k
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
144
12k
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
649
110k
A0517b08532aec8ab2aae3f65d40ad86?s=48 hannesfritz
27
890
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
10
1.6k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
142
19k
7c8469ee8c9e594c65c59b919626c08d?s=48 scottboms
250
11k

Transcript

  1. Djangoのパスワードハッシュア ルゴリズムで PyramidのWebアプリケーショ ン作った 2020-05-18 mizzsugar0425 @BPLL

  2. お前誰よ • みずきと申します。 • Twitter @mizzsugar0425 • PythonでWebサービス開発してます。(本業Django, 副業Pyramid) •

    PyConJPのCfPの締切に焦ってます(;´Д`)

  3. 今日話す話の対象となる人 • ある程度Djangoを使ったWebアプリケーションまたはサービスの開発をできる 人

  4. 今日話すこと • Djangoデフォルトパスワードアルゴリズムの説明(ざっくり) • Djangoのソースコードを一部適用させたのでライセンスの話 • 作ったアプリでどうやってパスワードアルゴリズムを適用させたか • 爆誕させたもの↓ https://github.com/mizzsugar/pyramid-app-with-django-password-hash

  5. きっかけ

  6. 最近思うこと

  7. Djangoは制約が多すぎて辛い

  8. そうだ、リプレースすればいいんだ(雑)

  9. いろいろやらないといけないこ とあるけど・・・ migrationファイルどーするの ログインユーザーのトークンとか ORMで発行したクエリ その他Djangoにまかせた何か

  10. Djangoデフォルトの パスワードハッシュアルゴリズムを 他のWebフレームワークで使うには どうすれば?

  11. Djangoのパスワードの仕組みたどってみた from django.contrib.auth.models import User user = User.objects.create(email='sample.example.com') user.set_password('password') #

    パスワードハッシュ user.save() # return True user.check_password('password') # パスワードチェック

  12. check_password, set_passwordが エントリポイントらしいぞ

  13. たどったら django.contrib.auth.hashersモジュールの check_password(上), make_password(下) にたどり着いた。 https://github.com/django/django/blob/master/django/contrib/auth/hashers. py#L30 https://github.com/django/django/blob/master/django/contrib/auth/hashers. py#L64

  14. 色んなハッシュアルゴリズム使えるよう settings.pyのPASSWORD_HASHERSで使いたいパスワードアルゴリズムを定義 PASSWORD_HASHERS = [ 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher', 'django.contrib.auth.hashers.Argon2PasswordHasher', 'django.contrib.auth.hashers.BCryptSHA256PasswordHasher', ]

    デフォルトのsettings.pyのPASSWORD_HASHERS https://docs.djangoproject.com/ja/3.0/topics/auth/passwords/#how-django-stores-passwords

  15. デフォルトではどのアルゴリズムが? PASSWORD_HASHERS = [ 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher', 'django.contrib.auth.hashers.Argon2PasswordHasher', 'django.contrib.auth.hashers.BCryptSHA256PasswordHasher', ] このリストを読み込んで一番上のアルゴリズムのクラスを使う仕組み。

    デフォルトだとdjango.contrib.auth.hashersモジュールの PBKDF2PassswordHasherクラスを使うよう。

  16. これを適用するには? PBKDF2PassswordHasherクラスをコピペするのが楽だけど ライセンス大丈夫?

  17. Djangoは3-clause BSD-3-Clauseライセンス 以下の条件下なら修正あり、なしに関わらずソースコードの再配布OK 1. ソースコードの再配布は、上記の著作権表示、ここに列挙された条件、および下記の免責条項を保 持すること。 2. バイナリ形式の再配布は、上記の著作権表示、ここに列挙された条件、および下記の免責条項は、ド キュメントまたは他の資料で配布すること。 3.

    このソフトウェアのコントリビューター (貢献者)の名前は、特定の書面による事前の許可なしに、このソ フトウェアから派生した製品の保証または販売促進のために使用してはいけない。 https://opensource.org/licenses/BSD-3-Clause

  18. リポジトリにDjangoライセンス明記 https://github.com/mizzsugar/pyramid-app-with-django-password-hash/blob/ master/LICENSE.Django

  19. 今回作ったリポジトリ自体のライセンス • BSD-3-Clauseにした • Django自身のライセンスよりもゆるくするのは怖いのでやめといた

  20. 今回作ったもののディレクトリ構成 • Djangoから取り入れた部分はビジネスロジックとは切り離してライブラリとして導 入する方針 • ビジネスロジックではmake_password, check_passwordを呼び出すだけにす る

  21. ├── LICENSE ├── LICENSE.Django ├── README.rst └── application ├── Makefile

    ├── migrations │ └── 0001_core.sql ├── mypy.ini ├── openapi.yaml ├── poetry.lock ├── sample │ ├── __init__.py │ ├── application.py │ ├── bootstrap.py │ ├── domain │ │ ├── __init__.py │ │ └── authentication.py(viewで呼び出す認証処理書いてる ) │ │ │ ├── libs │ │ ├── __init__.py │ │ ├── crypto.py(make_password, check_passwordに必要) │ │ ├── encoding.py(make_password, check_passwordに必要) │ │ ├── module_loading.py(make_password, check_passwordに必要) │ │ └── password.py(ここにmake_password, check_passwordがある) │ ├── repository │ ├── scripts │ ├── views │ └── wsgi.py └── tests ※一部省略しています。

  22. パスワードチェックの実装 def sign_in(self, draft: sample.dto.SignIn) -> sample.domain.dto.User: try: user =

    self._repository.authentication.fetch_by_email(draft.email) # DBアクセス except sample.repository.exceptions.NotFoundError: raise sample.domain.exceptions.InvalidCredentialError() if not sample.libs.password.check_password(draft.password, user.password): raise sample.domain.exceptions.InvalidCredentialError() return sample.domain.converters.User.from_repository(user)

  23. パスワードを暗号化する実装 def register_user(self, draft: sample.domain.dto.DraftUser) -> None: password = sample.libs.password.make_password(draft.password)

    # パスワードハッシュ try: self._repository.authentication.register_user( sample.repository.dto.DraftUser(email=draft.email, password=password)) # DBに登録 except sample.repository.exceptions.ConflictError: raise sample.domain.exceptions.AlreadyRegisteredError()

  24. これからしたいこと • Djangoから得た部分のTypeHint • CIの設定 • パスワードのところもうちょっとテスト追加 • iterationの回数の増加タイミング見極め •

    ログインした際のトークン発行

  25. ありがとうございました。