ユーザー認証と承認が必要なサイトを構築しています。私の最初のアイデアは、Flask フレームワークを使用してアプリケーションを作成することでした。しかし、Flask には認証システムが組み込まれていないことがわかりました。拡張機能のフラスコログインがありますが、この拡張機能が適切に作成されているかどうかについては確認していません。認証を間違えるのは非常に簡単だと読んだことがあります。
認証システムが組み込まれている Django や web2py などに切り替えるのは良い考えでしょうか?
優れた Web プログラマーは通常、独自の認証システムを展開しようとするのではなく、実証済みの真の認証システムを使用することを選択しますか?
認証/承認システムの構築に関するベスト プラクティスを示す優れたガイドはありますか?
みんなありがとう!
Web サイトにユーザー ログイン機能 (つまり、認証と承認) を追加する場合は、既存のフレームワークを使用します。セキュリティの専門家でない限り、安全なシステムを作成できる可能性は 0 に近くなります。これは、プログラミング言語や使用しているフレームワークに関係なく当てはまります。
残念ながら、この質問に次のように答える人を見てきました。パスワードなどなど」この答えは完全に間違っています。
利用可能な無料の認証フレームワークがあります。それらを使用してください。たとえば、Django と web2py には認証システムが組み込まれています。多くのフレームワークには認証が組み込まれていません (Flask、webpy など)。これは、独自のフレームワークを展開する必要があるという意味ではありません。これは、サード パーティの認証ソフトウェアを見つける必要があることを意味します。Flask の場合、Flask-login があります。
したがって、私の元の質問に対する答えは次のとおりです。
1.) はい、または検証済みのサードパーティ ソフトウェア システムを統合します。
2.) はい、ベスト プラクティスには、独自の認証システムを記述しないでくださいと書かれています。すでに構築されているものを使用してください。
3.) 認証システムを構築するためのガイドは必要ありません。構築する必要はないからです。ただし、OWASPは優れたセキュリティ リソースです。
以下に簡単な要約を示し ます。独自の認証システムを作成しないでください。信頼できる構築済みの認証システムを使用します。Python で使用できる認証システムに関する推奨事項があれば、遠慮なく投稿してください。