Django 为什么我的Django用户模型密码没有被哈希

在本文中，我们将介绍为什么您的Django用户模型密码没有被哈希，并提供解决方案。Django是一个流行的Python Web框架，它提供了强大的用户认证和管理系统，其中包括用户模型。用户模型是Django中存储用户信息的数据库表，包括用户名、密码等字段。

阅读更多：Django 教程

Django密码哈希

Django默认使用密码哈希算法来保护用户密码的安全性。密码哈希是一种加密算法，将用户密码转换为不可逆的字符串，以保护用户的密码不被泄露。Django使用PBKDF2算法进行密码哈希处理，默认迭代次数为150,000。

password属性的值

Django的用户模型中有一个名为password的字段，用于存储经过哈希处理的密码。在用户注册或更改密码时，Django会自动将输入的密码进行哈希处理，并保存到该字段中。当您需要验证用户密码时，只需要将输入的密码与存储的哈希密码进行比较即可。

然而，有时候，您可能会发现用户模型中的password字段的值并没有被哈希处理。这可能是由于以下几个原因造成的：

直接赋值密码：如果您在创建或更新用户模型时直接将密码值赋给password字段，而没有经过哈希处理，那么该密码就不会被哈希。例如：

from django.contrib.auth.models import User

user = User.objects.create(username='test', password='mypassword')  # 密码没有被哈希

正确的做法是使用set_password方法来设置密码，它会自动进行哈希处理，例如：

user = User.objects.create(username='test')
user.set_password('mypassword')  # 密码会被正确地哈希处理
user.save()

密码字段命名不正确：Django默认要求使用名为password的字段来存储哈希密码。如果您将字段命名为其他名称（例如pwd），则该字段的值将不会被自动哈希处理。例如：

from django.contrib.auth.models import AbstractBaseUser, BaseUserManager

class MyUserModel(AbstractBaseUser):
    pwd = models.CharField(max_length=128)  # 密码没有被自动哈希

    ...

user = MyUserModel.objects.create(pwd='mypassword')

正确的做法是使用名为password的字段来存储密码。

解决方案

要解决Django用户模型密码没有被哈希的问题，您可以按照以下步骤操作：

使用set_password方法：在创建或更新用户模型时，使用set_password方法来设置密码，以确保密码会被正确地哈希处理。

user = User.objects.create(username='test')
user.set_password('mypassword')
user.save()

检查密码字段命名：确保使用默认的password字段名来存储密码。如果修改了字段名，需要将其改回为password。

示例

下面是一个完整的示例，演示了如何使用正确的方式创建和验证用户密码：

from django.contrib.auth.models import User

def create_user(username, password):
    user = User.objects.create(username=username)
    user.set_password(password)
    user.save()

def check_password(username, password):
    try:
        user = User.objects.get(username=username)
    except User.DoesNotExist:
        return False

    return user.check_password(password)

create_user('test', 'mypassword')
print(check_password('test', 'mypassword'))  # 输出：True

在上述示例中，我们使用了create_user方法来创建用户，并使用check_password方法来验证用户密码。