Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Djangoのパスワードハッシュアルゴリズムで_PyramidのWebアプリケーション作った.pdf

Avatar for mizzsugar mizzsugar
May 19, 2020
Programming
0
900

 Djangoのパスワードハッシュアルゴリズムで_PyramidのWebアプリケーション作った.pdf

Avatar for mizzsugar

mizzsugar

May 19, 2020
Tweet

More Decks by mizzsugar

See All by mizzsugar
厳しさとゆるさの間で迷う人に捧げる個人開発記
Avatar for mizzsugar mizzsugar
0
17
SQLModel入門〜クエリと型〜
Avatar for mizzsugar mizzsugar
1
920
フルリモート向いてないと思っていた私が、なんだかんだ健やかに 1年半フルリモート出来ている話
Avatar for mizzsugar mizzsugar
0
130
Djangoでのプロジェクトだって型ヒントを運用出来る!
Avatar for mizzsugar mizzsugar
4
8.6k
「動くものは作れる」の一歩先へ 〜「自走プログラマー」の紹介〜
Avatar for mizzsugar mizzsugar
0
560
pytestの第一歩 〜「テスト駆動Python」の紹介〜
Avatar for mizzsugar mizzsugar
3
350
データ分析ツール開発でpoetryを使う選択肢
Avatar for mizzsugar mizzsugar
1
1.1k
unittest.mockを使ってテストを書こう
Avatar for mizzsugar mizzsugar
5
6.4k
変数に変数を代入したら?
Avatar for mizzsugar mizzsugar
0
2.5k

Other Decks in Programming

See All in Programming
PostgreSQLのRow Level SecurityをPHPのORMで扱う Eloquent vs Doctrine #phpcon #track2
Avatar for Hiromi Hishida 77web
2
570
Rails Frontend Evolution: It Was a Setup All Along
Avatar for Svyatoslav Kryukov skryukov
0
240
チームで開発し事業を加速するための"良い"設計の考え方 @ サポーターズCoLab 2025-07-08
Avatar for Agata Naomichi agatan
1
450
dbt民主化とLLMによる開発ブースト ~ AI Readyな分析サイクルを目指して ~
Avatar for yosh_yumyum yoshyum
3
1.1k
Hack Claude Code with Claude Code
Avatar for Akihiro Okuno choplin
6
2.4k
VS Code Update for GitHub Copilot
Avatar for 74th(Atsushi Morimoto) 74th
2
670
Quand Symfony, ApiPlatform, OpenAI et LangChain s'allient pour exploiter vos PDF : de la théorie à la production…
Avatar for Ahmed EBEN HASSINE ahmedbhs123
0
210
Node-RED を(HTTP で)つなげる MCP サーバーを作ってみた
Avatar for High U highu
0
120
初学者でも今すぐできる、Claude Codeの生産性を10倍上げるTips
Avatar for Oikon s4yuba
16
12k
What's new in AppKit on macOS 26
Avatar for 1024jp 1024jp
0
140
効率的な開発手段として VRTを活用する
Avatar for Yosuke Ishikawa ishkawa
0
150
GPUを計算資源として使おう!
Avatar for prime number primenumber
1
200

Featured

See All Featured
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
69
11k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
43
7.6k
KATA
Avatar for Megan Lloyd mclloyd
30
14k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
20
1.3k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.6k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k

Transcript

  1. Djangoのパスワードハッシュア ルゴリズムで PyramidのWebアプリケーショ ン作った 2020-05-18 mizzsugar0425 @BPLL

  2. お前誰よ • みずきと申します。 • Twitter @mizzsugar0425 • PythonでWebサービス開発してます。(本業Django, 副業Pyramid) •

    PyConJPのCfPの締切に焦ってます(;´Д`)

  3. 今日話す話の対象となる人 • ある程度Djangoを使ったWebアプリケーションまたはサービスの開発をできる 人

  4. 今日話すこと • Djangoデフォルトパスワードアルゴリズムの説明(ざっくり) • Djangoのソースコードを一部適用させたのでライセンスの話 • 作ったアプリでどうやってパスワードアルゴリズムを適用させたか • 爆誕させたもの↓ https://github.com/mizzsugar/pyramid-app-with-django-password-hash

  5. きっかけ

  6. 最近思うこと

  7. Djangoは制約が多すぎて辛い

  8. そうだ、リプレースすればいいんだ(雑)

  9. いろいろやらないといけないこ とあるけど・・・ migrationファイルどーするの ログインユーザーのトークンとか ORMで発行したクエリ その他Djangoにまかせた何か

  10. Djangoデフォルトの パスワードハッシュアルゴリズムを 他のWebフレームワークで使うには どうすれば?

  11. Djangoのパスワードの仕組みたどってみた from django.contrib.auth.models import User user = User.objects.create(email='sample.example.com') user.set_password('password') #

    パスワードハッシュ user.save() # return True user.check_password('password') # パスワードチェック

  12. check_password, set_passwordが エントリポイントらしいぞ

  13. たどったら django.contrib.auth.hashersモジュールの check_password(上), make_password(下) にたどり着いた。 https://github.com/django/django/blob/master/django/contrib/auth/hashers. py#L30 https://github.com/django/django/blob/master/django/contrib/auth/hashers. py#L64

  14. 色んなハッシュアルゴリズム使えるよう settings.pyのPASSWORD_HASHERSで使いたいパスワードアルゴリズムを定義 PASSWORD_HASHERS = [ 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher', 'django.contrib.auth.hashers.Argon2PasswordHasher', 'django.contrib.auth.hashers.BCryptSHA256PasswordHasher', ]

    デフォルトのsettings.pyのPASSWORD_HASHERS https://docs.djangoproject.com/ja/3.0/topics/auth/passwords/#how-django-stores-passwords

  15. デフォルトではどのアルゴリズムが? PASSWORD_HASHERS = [ 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher', 'django.contrib.auth.hashers.Argon2PasswordHasher', 'django.contrib.auth.hashers.BCryptSHA256PasswordHasher', ] このリストを読み込んで一番上のアルゴリズムのクラスを使う仕組み。

    デフォルトだとdjango.contrib.auth.hashersモジュールの PBKDF2PassswordHasherクラスを使うよう。

  16. これを適用するには? PBKDF2PassswordHasherクラスをコピペするのが楽だけど ライセンス大丈夫?

  17. Djangoは3-clause BSD-3-Clauseライセンス 以下の条件下なら修正あり、なしに関わらずソースコードの再配布OK 1. ソースコードの再配布は、上記の著作権表示、ここに列挙された条件、および下記の免責条項を保 持すること。 2. バイナリ形式の再配布は、上記の著作権表示、ここに列挙された条件、および下記の免責条項は、ド キュメントまたは他の資料で配布すること。 3.

    このソフトウェアのコントリビューター (貢献者)の名前は、特定の書面による事前の許可なしに、このソ フトウェアから派生した製品の保証または販売促進のために使用してはいけない。 https://opensource.org/licenses/BSD-3-Clause

  18. リポジトリにDjangoライセンス明記 https://github.com/mizzsugar/pyramid-app-with-django-password-hash/blob/ master/LICENSE.Django

  19. 今回作ったリポジトリ自体のライセンス • BSD-3-Clauseにした • Django自身のライセンスよりもゆるくするのは怖いのでやめといた

  20. 今回作ったもののディレクトリ構成 • Djangoから取り入れた部分はビジネスロジックとは切り離してライブラリとして導 入する方針 • ビジネスロジックではmake_password, check_passwordを呼び出すだけにす る

  21. ├── LICENSE ├── LICENSE.Django ├── README.rst └── application ├── Makefile

    ├── migrations │ └── 0001_core.sql ├── mypy.ini ├── openapi.yaml ├── poetry.lock ├── sample │ ├── __init__.py │ ├── application.py │ ├── bootstrap.py │ ├── domain │ │ ├── __init__.py │ │ └── authentication.py(viewで呼び出す認証処理書いてる ) │ │ │ ├── libs │ │ ├── __init__.py │ │ ├── crypto.py(make_password, check_passwordに必要) │ │ ├── encoding.py(make_password, check_passwordに必要) │ │ ├── module_loading.py(make_password, check_passwordに必要) │ │ └── password.py(ここにmake_password, check_passwordがある) │ ├── repository │ ├── scripts │ ├── views │ └── wsgi.py └── tests ※一部省略しています。

  22. パスワードチェックの実装 def sign_in(self, draft: sample.dto.SignIn) -> sample.domain.dto.User: try: user =

    self._repository.authentication.fetch_by_email(draft.email) # DBアクセス except sample.repository.exceptions.NotFoundError: raise sample.domain.exceptions.InvalidCredentialError() if not sample.libs.password.check_password(draft.password, user.password): raise sample.domain.exceptions.InvalidCredentialError() return sample.domain.converters.User.from_repository(user)

  23. パスワードを暗号化する実装 def register_user(self, draft: sample.domain.dto.DraftUser) -> None: password = sample.libs.password.make_password(draft.password)

    # パスワードハッシュ try: self._repository.authentication.register_user( sample.repository.dto.DraftUser(email=draft.email, password=password)) # DBに登録 except sample.repository.exceptions.ConflictError: raise sample.domain.exceptions.AlreadyRegisteredError()

  24. これからしたいこと • Djangoから得た部分のTypeHint • CIの設定 • パスワードのところもうちょっとテスト追加 • iterationの回数の増加タイミング見極め •

    ログインした際のトークン発行

  25. ありがとうございました。