金字塔内置的认证/授权能实现复杂的安全方案吗？

Question

该安全模型似乎适合非常小的项目，但在security.py中编写所有可能的注册用户的散列密码可能并不可行。你知道任何扩大金字塔身份验证的例子吗，或者通过金字塔的安全方案调用到我自己的安全信息数据库有什么好处吗？

Answer 1

不知道您的需求是什么，或者您所说的“扩展安全性”是什么意思，但金字塔身份验证策略非常灵活。但是您需要理解，它并不维护用户和密码，它只是提供了一种从传入请求中获取用户标识符的机制。例如，AuthTktAuthenticationPolicy通过使用remember方法设置的cookie来跟踪用户id。

您从该用户id获得的有意义的信息完全由您决定，并且是特定于应用程序的。

因此，你真正想要问的问题是，你的应用程序能否“扩展安全性”。

我不能向你展示代码，因为它是专有的，但我需要在同一个应用程序上支持openid，http auth和典型的数据库支持的用户存储，额外增加的复杂性是，用户存储在不同的数据库分片中，并且无法立即确定分片。只需要很少的代码就可以支持这一点。

Answer 2

我认为这个项目的规模与安全模型无关。您要么想要简单的安全模型，要么想要复杂的安全模型。两者都可以应用于任何规模的项目。金字塔的优点之一是它的可扩展性。

为什么要在security.py中存储哈希密码？(cmiiw这里，我可能误解了)如果你在某人的代码上读到这篇文章，那可能只是一个例子。在真实的应用程序中，您可以将它们保存在您选择的存储/持久性系统中。

同样，我不明白您所说的“扩展身份验证”是什么意思。我的猜测是，您需要一些工作示例：

• tutorial from the docs
• shootout application：小而好的例子，使用forms
• pyramid auth demo：complex/granular/row-level permission
• pyramid apex：第三方身份验证(谷歌、推特等)和velruse，形成未完成的库；你可以从其中借鉴一些想法

Answer 3

我最终为自己构建了一些东西，如果您碰巧使用MongoDB，它会使身份验证变得更容易一些。

https://github.com/mosesn/mongauth

它不是建在金字塔里的，但是很容易就挂上了。每件事都是相当透明的。