如何在django中以最“安全”的方式公开用户密码？

Question

我正在从事Django 1.9项目，有人要求我允许一些用户打印一个页面，其中包含一组用户和他们的密码。当然，密码是加密的，没有开箱即用的方法。我知道这意味着安全漏洞，所以我的问题有点矛盾，但是有什么逻辑的方法可以不暗示软件中存在巨大的安全漏洞？

Answer 1

不，没有合乎逻辑的方法来做这并不意味着软件中存在巨大的安全漏洞。

如果密码被正确地存储(盐渍和散列)，那么即使数据库上访问不受限制的站点管理员也不能告诉您密码是纯文本的。

你应该回击这个不合理的要求。如果您有可用的“密码重置”功能，那么除了用户以外，没有人需要知道用户的密码。--如果您没有可靠的“密码重置”功能，那么请尝试在这个方向上引导的对话和开发工作。很少有真正的业务需要知道/打印用户密码，这类特性请求可能来自非技术人员，他们对身份验证和授权的实现细节有误解(或不理解)。