私はまだDjangoにかなり慣れていないので、ログインメソッドを作成しようとしています。ユーザーがログインを維持できるように、それを実行して情報をセッションに保存するための最良のロジックは何ですか?
次のような認証モデルがあります。
class User(models.Model):
email_address = models.CharField(max_length=128)
password = models.CharField(max_length=128) # sha512 of password w/salt
password_salt = models.CharField(max_length=128) # sha512 of random number as salt
基本的に、次のようなビューのログインメソッドを記述します。
@ratelimit_post(minutes = 1, requests = 5, key_field = 'email_address')
def login(request):
requestedUser = User.objects.get(email_address=request.POST['email_address'])
if requestedUser == None:
fail_no_user()
passwordHash = sha512(request.POST['password'] + requestedUser.password_salt)
if requestedUser.password != passwordHash:
fail_wrong_password()
else:
request.session['user_id'] = user.id
request.session['is_auth'] = True
success_login()
これは、Djangoとのログインとセッションを処理する安全な方法ですか?私はまだ新しいので、これが受け入れられているアプローチかどうかはわかりません。ここで欠けているセキュリティとパフォーマンスの面で何かありますか?