字段加密实践(django-fernet-fields)

一、fernet介绍

　　Fernet 用于django模型字段对称加密，使用 crytography 库。

　　官网帮助文档

1、先决条件

　　django-fernet-fields 支持Django 1.8.2以及更高版本，Python 2.7、3.3、3.4、pypy和pypy3。

　　测试了PostgreSQL、SQLite和MySQL可用，但是任何支持BinaryField的Django数据库后端应该都可以运行。

2、安装

　　django-fernet-fields 在 PyPI可用，可用如下方法安装：

pip install django-fernet-fields

二、fernet使用

1、用法示例

　　只需导入并使用模型中包含的字段类:

from django.db import models
from rbac.models import *
from fernet_fields import EncryptedCharField

class Customer(models.Model):
    """ 客户(学生)表 """
    name = EncryptedCharField(verbose_name='姓名', max_length=64)
    gender_choices = (
        (1, '男'),
        (2, '女')
    )

　　可以声明变量并和往常一样读取name字段的值，但是这些值在发送到数据库之前会自动进行加密，并在数据库中读取时进行解密。

　　加密和解密都将在本地应用中执行，密钥永远不会发送到数据库服务器，数据库仅查看此字段的加密值。

2、字段类型

　　常用的字段类如下：EncryptedCharField, EncryptedEmailField, EncryptedIntegerField, EncryptedDateField, and EncryptedDateTimeField. 所有字段类都接受与其非加密版本相同的参数。

　　要创建其他一些自定义字段类的加密版本，可以从EncryptedField和其他字段类继承:

from fernet_fields import EncryptedField
from somewhere import MyField

class MyEncryptedField(EncryptedField, MyField):
    pass

3、可空字段

　　允许使用可空的加密字段; NonePython中的值被转换为NULL数据库列中的实数。请注意，这通常会在列中向攻击者显示数据的存在与否。如果这是您的问题，请避免使用可空的加密字段; 而是在非可空加密字段中存储一些其他的标记“空”值（将像任何其他值一样加密）。

三、索引，约束和查找

　　由于Fernet加密不是确定性的（使用相同密钥加密的相同源文本每次都会导致不同的加密令牌），因此索引或强制执行唯一性或对加密数据执行查找是无用的。每个加密值总是不同的，每次完全匹配查找都会失败; 其他查找的结果将毫无意义。

　　由于这个原因，如果通过了 db_index=True，unique=True，primary_key=True,EncryptedField 将抛出 django.core.exceptions.ImproperlyConfigured。并且对于 EncryptedField 的任何类型的查找。除了为空之外，都将抛出django.core.exceptions.FieldError。