如何存储需要在不同用户之间共享的敏感信息？

Question

我必须在我的数据库中使用Django存储一些敏感信息。

我有一个Client模型，每个客户端都有一串SocialAccounts（twitter，fb等），带有一个URL，客户端和密码。

考虑到属于组“管理员”的所有用户应该能够看到密码。将这些密码存储在数据库中的安全方法是什么？

Answer 1

使用可逆加密存储密码与纯文本一样安全。使用OAuth或类似的东西，或准备严重麻烦时（而不是“如果” - “何时”）有人会破解你的数据库。

Answer 2

为什么不尝试用salted hash技术加密所需的字段？

from hashlib import sha512 
salt = "thisissecret" 
password = sha512("client password" + salt).hexdigest() 

您也可以对电子邮件和其他字段进行同样的操作。 另外，您不必保留静态salt，假设您保留用户的名字为salt或其他名称。

希望这是有帮助的。

Answer 3

因此很明显，Django的扩展有two fields for this very purpose：

• EncryptedCharField - CharField，因为它去进出数据库的透明地加密它的价值。加密由Keyczar公司处理。要使用此字段，您必须安装Keyczar，请让 生成主加密密钥，并将settings.KEYS_DIR设置为 您的keys目录的完整路径。
• EncryptedTextField - CharField在进出数据库时透明地加密其值。加密由Keyczar公司处理。要使用此字段，您必须安装Keyczar，请让 生成主加密密钥，并将settings.KEYS_DIR设置为 您的keys目录的完整路径。

所以基本上我必须安装（1） keyczar及其对蟒蛇的依赖：

pip install https://keyczar.googlecode.com/files/python-keyczar-0.71c.tar.gz 
pip install pycrypto 
pip install pyasn1 

（如果你没有它，但...安装Django的扩展太）

（2）创建一个目录，你将存储你的钥匙，并创建你的钥匙：

mkdir keys 
python path/to/keyczart.py create --location='keys' --purpose='crypt' --name='whatever_name' 
python path/to/keyczart.py addkey --location='keys' --status='primary' 

（3）将目录添加到ENCRYPTED_FIELD_KEYS_DIR下的settings.py。

最后（4）的EncryptedCharField或EncrytedTextField添加到模型：

from django_extensions.db.fields.encrypted import EncryptedCharField 

class SocialAccount(models.Model): 
    platform = models.ForeignKey(SocialPlatformType, 
           related_name='platforms') 
    url = models.URLField('Account url', unique=True, 
          null=True, blank=True) 
    password = EncryptedCharField(null=True, blank=True, max_length=255) 
    content_type = models.ForeignKey(ContentType) 
    object_id = models.PositiveIntegerField() 
    content_object = generic.GenericForeignKey('content_type', 'object_id') 

    def __unicode__(self): 
     return self.url 

我希望有人认为这是有用的。

Answer 4

对于相对简单的解决方案，您可以利用django-encrypted-fields。