Я рассматриваю вариант с перехватом запроса

А если трафик между клиентом и сервером шифруется (htps)?

Точно Про ssl я забыл...

А если трафик между клиентом и сервером шифруется (htps)?

Он и идет по https =) Но, блин, мало-ли)

Всем спокойной ночи

result_check = cur.execute("SELECT settings_val FROM settings WHERE settings_name = 'USERAGENT'") if result_check is not None: result_check_one = result_check.fetchone()

там почему-то none …

Всем спокойной ночи

Спокойной ночи

там почему-то none …

Потому что таких записей в БД нет

Всем спокойной ночи

спокойной

там почему-то none …

Попробуй через консоль запрос сделать

записи есть

в консоли запрос работает

Попробуй через консоль запрос сделать

Бд мускль?

даже select * from settings тоже none возвращает без класса ((

Бд мускль?

Постгрес

постгресс

постгресс

Хуйова, еал

Бл

? да уже сам не рад что влез

Если бы был мускл, то pymysql норм работает

Чем постгрес лучше?

просто думал есть простой ответ в стиле “Вася ну ты лох, потому работает что init делает питон магию” ?

? да уже сам не рад что влез

Короче Если я не удалил постгрес сервер, то сейчас попробую

и я бы пошел спать спокойно ))

А если трафик между клиентом и сервером шифруется (htps)?

Естть такая идея. Можно сгенерить публичный и приватный ключи для пользователя. Приватный ключ и токен с инфой (зашифрованный публичным ключом) положить в таблицу с сессиями пользователя. При отправке запроса с этим токеном рассшифровывать его и смотреть в теле уже кому он принадлежит user_id, IP, expires и тд

по идее даже если его перехватят и отправят с другого клиента, то это ничего не даст

но может я просто параноик =)

Короче Если я не удалил постгрес сервер, то сейчас попробую

если это не супер сложно, но тут хз вопрос наверное не столько в базе сколько в питоне

Естть такая идея. Можно сгенерить публичный и приватный ключи для пользователя. Приватный ключ и токен с инфой (зашифрованный публичным ключом) положить в таблицу с сессиями пользователя. При отправке запроса с этим токеном рассшифровывать его и смотреть в теле уже кому он принадлежит user_id, IP, expires и тд

Ебать залупа, делай как вк - авторизация по юзернейму+паролю, получаем токен, в бд храним связанного юзера и просто при использовании токена чекаем юзера

Ибо свистнуть токен можно только узнав его

Ебать залупа, делай как вк - авторизация по юзернейму+паролю, получаем токен, в бд храним связанного юзера и просто при использовании токена чекаем юзера

Я в 2014 году токены умел перехватывать

И это работало

Как вариант для генерации токена; hashlib.sha256(uuid.uuid4().digest).hexdigest()

если это не супер сложно, но тут хз вопрос наверное не столько в базе сколько в питоне

Не повезло У меня нет постгреса

ладно )

попробую в дебаг пичарма посмотреть

нет так нет, на сегодня надо заявзывать уже кипит немного итак )

Чем постгрес лучше?

?

Чем постгрес лучше?

Да ничем

попробую в дебаг пичарма посмотреть

Если ничего не выйдет - тегни меня, я поставлю его. Пусть будет, мало ли пригодится.

Ну, только есть JSON объекты

Чем постгрес лучше?

Говорят, что транзакционностью

Если ничего не выйдет - тегни меня, я поставлю его. Пусть будет, мало ли пригодится.

да фишка в том что в итоге то оно работает ? просто я не понимаю почему

Да ничем

Таки пусть мускл юзит, ему хватит, да и ебли этой нет

Говорят, что транзакционностью

Транзакционность есть и в MySQL

?

лучше чего ?

лучше чего ?

Мускл

Как вариант для генерации токена; hashlib.sha256(uuid.uuid4().digest).hexdigest()

Да токен можно и так сгенерить uuid.uuid4().hex в принципе

хз ? база она и есть база, кому-то оракл кому-то ms вообще заходит бодро )

Да токен можно и так сгенерить uuid.uuid4().hex в принципе

Мало, скомпрометировать изи

Больше длина - лучше

Мало, скомпрометировать изи

тогда sha512,1024,2048 ... =)

на хероку просто был постгресс ) я взял его , алхимия к нему прикрутилась на изи, а вот скрипт который в celery запускается, не хочет дружить )

хз ? база она и есть база, кому-то оракл кому-то ms вообще заходит бодро )

Использую мускль для бд треков с радио/юзеров

И норм

Никаких велосипедов

Да токен можно и так сгенерить uuid.uuid4().hex в принципе

Посмотри про jwt, как вариант

Использую мускль для бд треков с радио/юзеров

мускуль это MySQL ?

мускуль это MySQL ?

+

мускуль это MySQL ?

Да

pymysql.readthedocs.io и офигей от простоты использования

пс

Да

не сталкивался просто, на работе везде MS SQL

может кто по алхимии годные туториалы дать

в доки не посылайте

Делаю: python -m venv venv # копирую файл с кодом и requirements.txt . venv/bin/activate pip install -r requirements.txt ./prog.py А в итоге выдает ModuleNotFoundError и один из модулей в requirements.txt. Дистр Arch.

Спасибо всем за мысли по этому поводу. может действительно нагнетаю

Делаю: python -m venv venv # копирую файл с кодом и requirements.txt . venv/bin/activate pip install -r requirements.txt ./prog.py А в итоге выдает ModuleNotFoundError и один из модулей в requirements.txt. Дистр Arch.

что ставишь

что ставишь

unidecode.

а в PyPI нет?

pymysql.readthedocs.io и офигей от простоты использования

ну оно от psycopg2 и не отличается ) там тоже самое все

unidecode.

это под второй чтоль?

а в PyPI нет?

?

пакета твоего

пакета твоего

Есть.

ставь через пип

по обычному

Так я через пип и ставил, лол.

Делаю: python -m venv venv # копирую файл с кодом и requirements.txt . venv/bin/activate pip install -r requirements.txt ./prog.py А в итоге выдает ModuleNotFoundError и один из модулей в requirements.txt. Дистр Arch.

Делаю: python -m venv venv # копирую файл с кодом и requirements.txt . venv/bin/activate pip install -r requirements.txt ./prog.py А в итоге выдает ModuleNotFoundError и один из модулей в requirements.txt. Дистр Arch.

ну если модуль установился без проблем - то проблемы в импортах

Так я через пип и ставил, лол.

Ручками а не файлом

Спасибо всем за мысли по этому поводу. может действительно нагнетаю

Надо jwt юзать для шифрования

Ручками а не файлом

$ pip install unidecode Requirement already satisfied: unidecode in ./venv/lib/python3.7/site-packages (1.0.22)

Да и смысл?

Даже если хацкеры перехватят http запрос, они получат строку, которую не смогут расшифровать

$ pip install unidecode Requirement already satisfied: unidecode in ./venv/lib/python3.7/site-packages (1.0.22)

Да и смысл?

удали

и снова

ладно, спасибо за участие всем, пополз спать

парни, а кто как токены хранит к апи разным?

парни, а кто как токены хранит к апи разным?

Как строку в бд

Даже если хацкеры перехватят http запрос, они получат строку, которую не смогут расшифровать

Разве jwt нельзя расшифровать? По-моему с rsa надежнее???

Как строку в бд

а без бд

Разве jwt нельзя расшифровать? По-моему с rsa надежнее???

Jwt можно расшифровать, если знать ключ

а без бд

А где ты хранить собрался? Клиент/сервер?

Разве jwt нельзя расшифровать? По-моему с rsa надежнее???

У jwt две части

удали

Но это же чертовы костыли.

Я рассматриваю вариант с перехватом запроса

в таком случае ничего из вышеперечисленных способов вам не поможет