RESTful update password

Question

Цель: безопасное и безопасное обновление пароля пользователя с использованием служб RESTful.

Я немного запутался о том, что рабочий процесс, используя лучшие практики, должны быть для:
    1.) обновление пароля для пользователя, который знает, что есть существующий пароль
    2.) сброс пароля если пользователь забыл.
    3.) Являются ли URI (ресурсы) RESTful? Для целей этого веб-приложения мне просто нужны GET и POST для изменений.

Я считаю, что мой код может быть избыточным. Метод обновления пароля (показано ниже) не обновляет пароль правильно. Он меняет его, но когда я пытаюсь войти с новым паролем, установленным в new_password, пароль не совпадает. Я так же следил за этим STACKs answer Майклом Мерикелем для обновления.

пользователя = DBSession.query (Пользователь) .filter_by (электронная почта = электронная почта) .first() если пользователь: user.password = new_password

Благодарим Вас за какие-либо идеи/ввода. Я новичок и хочу правильно закодировать.

Все это через HTML, а не JSON.
Software: Python 2.7.9, 1.5.7 Пирамиды, SQLAlchemy 1.0.9

---

Ресурсы: __init__.py

config.add_route('users', '/users') 
config.add_route('user', '/users/{id:\d+}/{login}') #/{login} added login 

config.add_route('reset_password', '/users/{username}/reset_password')#reset 
config.add_route('new_password', '/users/{username}/new_password')#new 
config.add_route('save_password', '/save_password')#new 

views.py

#http://0.0.0.0:6432/users/dorisday/reset_password <--like this 
@view_config(route_name='reset_password', renderer='templates/password_recovery.jinja2') 
def forgot_password(request): 
    if request.method == 'GET': 
     username = request.params['username'] 
     if username is not None: 
      user = api.retrieve_user(username) 

     return {} 

#http://0.0.0.0:6432/users/macycat/new_password <--like this 
@view_config(route_name='new_password', request_method='GET', renderer='templates/new_password.jinja2') 
def new_password(request): 
    logged_in_userid = authenticated_userid(request) 
    if logged_in_userid is None: 
     raise HTTPForbidden() 
    user = api.retrieve_user(logged_in_userid) 
    return {'user': user.username} 

@view_config(route_name='save_password', request_method='POST', renderer='templates/new_password.jinja2') 
def save_password(request): 
    with transaction.manager: 
     logged_in_userid = authenticated_userid(request) 
     if logged_in_userid is None: 
      raise HTTPForbidden() 
     user = api.retrieve_user(logged_in_userid) 
     if 'form.submitted' in request.params: 
      password = request.params['old_password'] 
      new_password = request.params['new_password'] 
      confirm_password = request.params['confirm_password'] 
      if new_password == confirm_password: 
       continue 
       if user is not None and user.validate_password(password): #encrypted way of checking password from DB 
        user.password = new_password 

       message = 'Whoops! Passwords do not match.' 

     transaction.commit() 
     raise HTTPSeeOther(location=request.route_url('login')) 
     return {'message': message, 'new_password': new_password} 

Хэш пароль в схеме SQLALCHEMY DB, как показано здесь:

Storing and validating encrypted password for login in Pyramid

Answer 1

1. Обновление пароля.

Обычно пароли хранятся в базе данных в хешированной форме, поэтому, если кто-то ворует вашу базу данных, они не могут легко получить пароли. Из вашего кода неясно, где происходит хеширование, поэтому вам нужно проверить, действительно ли user.password = new_password делает требуемую магию, или если вам нужно сделать это вручную. Он должен быть похож на код, который используется для первоначального создания пользователя с паролем.

актуальная проблема вы получаете сообщение «Упс Пароли не совпадают! '.» Если вы забыли пункт в строке else предшествующее ему:

  if user is not None and user.validate_password(password): #encrypted way of checking password from DB 
       user.password = new_password 
      **else:** 
       message = 'Whoops! Passwords do not match.' 

2. Сброс пароля для пользователей не знают своего текущего пароля

Простой способ сделать это, чтобы добавить новое поле, скажем, password_reset_secret, в модель пользователя.Когда забывчивые типы людей в своей электронной почте, найти пользователь по электронной почте, заполнить password_reset_secret со случайными унами-угадываем бредом и отправить пользователю письмо со ссылкой на специальную страницу, скажет https://yoursite.com/password_reset/jhg876jhgd87676

При получении электронной почты, пользователь нажимает на ссылку и посещает «секретную» страницу - это тот факт, что вы знаете, что у них есть доступ к адресу электронной почты, на который они набрали, поскольку URL-адрес в противном случае не является допустимым и не связан ни с чем. На этой странице есть форма с полем для нового пароля. Когда они вводят новый пароль, вы запрашиваете объект User из БД с помощью password_reset_secret с URL-адресом и обновляете его пароль. Готово.

Чтобы сбросить URL-адрес для доступа к URL-адресу через определенное время, вы можете добавить другое поле поля в свою модель User - скажем, 'password_reset_last_valid', установите значение «сейчас + 3 дня» при создании хэша сброса пароля и проверяя поле, когда пользователь пытается посетить ссылку. Если значение поля в прошлом, вы просто притворяетесь, что ничего не найдено.

Чтобы предотвратить использование пользователем нескольких раз, вы просто очищаете поля password_reset_secret и password_reset_last_valid после того, как пользователь с успехом изменил свой пароль.

3. Сохраняются ли URI?

Нет, это не так, но вы, вероятно, не стоит беспокоиться об этом на данном этапе :)