字段加密实践(django-fernet-fields)
一、fernet介绍
Fernet 用于django模型字段对称加密,使用 crytography 库。
1、先决条件
django-fernet-fields 支持Django 1.8.2以及更高版本,Python 2.7、3.3、3.4、pypy和pypy3。
测试了PostgreSQL、SQLite和MySQL可用,但是任何支持BinaryField的Django数据库后端应该都可以运行。
2、安装
django-fernet-fields 在 PyPI可用,可用如下方法安装:
pip install django-fernet-fields
二、fernet使用
1、用法示例
只需导入并使用模型中包含的字段类:
from django.db import models
from rbac.models import *
from fernet_fields import EncryptedCharField
class Customer(models.Model):
""" 客户(学生)表 """
name = EncryptedCharField(verbose_name='姓名', max_length=64)
gender_choices = (
(1, '男'),
(2, '女')
)
可以声明变量并和往常一样读取name字段的值,但是这些值在发送到数据库之前会自动进行加密,并在数据库中读取时进行解密。
加密和解密都将在本地应用中执行,密钥永远不会发送到数据库服务器,数据库仅查看此字段的加密值。
2、字段类型
常用的字段类如下:EncryptedCharField
, EncryptedEmailField
, EncryptedIntegerField
, EncryptedDateField
, and EncryptedDateTimeField
. 所有字段类都接受与其非加密版本相同的参数。
要创建其他一些自定义字段类的加密版本,可以从EncryptedField和其他字段类继承:
from fernet_fields import EncryptedField
from somewhere import MyField
class MyEncryptedField(EncryptedField, MyField):
pass
3、可空字段
允许使用可空的加密字段; None
Python中的值被转换为NULL
数据库列中的实数。请注意,这通常会在列中向攻击者显示数据的存在与否。如果这是您的问题,请避免使用可空的加密字段; 而是在非可空加密字段中存储一些其他的标记“空”值(将像任何其他值一样加密)。
三、索引,约束和查找
由于Fernet加密不是确定性的(使用相同密钥加密的相同源文本每次都会导致不同的加密令牌),因此索引或强制执行唯一性或对加密数据执行查找是无用的。每个加密值总是不同的,每次完全匹配查找都会失败; 其他查找的结果将毫无意义。
由于这个原因,如果通过了 db_index=True,unique=True,primary_key=True,EncryptedField
将抛出 django.core.exceptions.ImproperlyConfigured。并且对于 EncryptedField 的任何类型的查找。除了为空之外,都将抛出django.core.exceptions.FieldError。