Django、ユーザーモデル、プロファイル、およびセキュリティ

Question

私はちょうどユーザーモデルでふらつき始めましたが、これは間違っていると思いますが、私は考えていました。 。

私は1対1モデルでプロファイルを拡張したユーザーモデルを持っています。 （私が見つけることができるほとんどの情報源はこれをベストプラクティスとして推奨した）。

私のアプリの一般ユーザーは、ユーザーのユーザー名（ユーザーモデルの一部）や国籍（プロファイルモデルの一部）など、プロファイルデータのビットにアクセスすることができます。

私はobjects.getで作成したビューでこのデータを取得し、その結果をテンプレートに渡します。しかしこれも（ハッシュされた）パスワードを渡さないのですか？もしそうなら、これは安全ではありませんか？

Answer 1

いいえ。ユーザーモデルをテンプレートに渡すのが危険なのはなぜですか？エンドユーザーはテンプレートを管理することはできず、コードのみが管理します。どこのテンプレートでもパスワードを使用しないと、エンドユーザーはそのパスワードにアクセスできなくなります。

いずれの場合でも、ハッシュ化されたパスワードのみが存在することを指摘したとしても、それを使用したとしても、ハッシュ自体は役に立たない。ユーザをログインさせるには、Djangoには生のパスワードが必要です。このパスワードは同じ値にハッシュされます。ハッシュは簡単には可逆的ではありません。これはそれらを使用する全体のポイントです。