Django, модель пользователя, профили и безопасность

Question

Я только начал заниматься моделью пользователя, и я, вероятно, ошибаюсь в этом, но у меня просто была мысль, и я недостаточно осведомлен, чтобы убедить себя, что это действительно неправильно ,

У меня есть модель пользователя, которую я продлил с профилем с помощью модели «один-к-одному». (большинство источников, которые я мог найти, рекомендовал это как наилучшую практику).

Теперь для моих пользователей в моем приложении можно получить доступ к битам данных профиля, таких как имя пользователя (часть модели пользователя) или национальность (часть модели профиля).

Я захватил эти данные в представлении, которое я создал через объекты.get и передал результаты в шаблон. Но разве это также не распространяется на (хэшированные) пароли? И если это не так опасно?

Answer 1

Нет. Почему переход модели пользователя к шаблону был бы небезопасным? Конечные пользователи не имеют контроля над шаблоном, только ваш код. Если вы не используете пароль в шаблоне нигде, конечный пользователь не будет иметь к нему доступа.

В любом случае, даже если вы его использовали, указывая только на хешированный пароль; но сам хеш бесполезен. Чтобы зарегистрировать пользователя, Django нуждается в необработанном пароле, который имеет хэши к одному и тому же значению; но хеши нелегко обратимы, что является целым смыслом их использования.