系列文章目录
一、哈希(hash)的概念
-
哈希的概念:
哈希也叫散列、杂凑,它是一类算法的统称,可以将输入的数据映射成为固定长度的一堆字符,这些字符被称为散列值(hash值、哈希值等)。 -
散列值的特点:
- 每次传入的数据相同,得到的散列值也一定相同;
- 只能由传入的数据算出hsah值,不能由散列值得到原来的数据;
- 只要哈希的具体算法不变,无论传入多大的数据,得到的散列值长度是不变的。
- 常用来校验数据是否被篡改,将密码加密后保存等,以提高系统的安全性。
二、hashlib模块
hashlib支持的哈希算法有SHA1,SHA224,SHA256,SHA384,SHA512,MD5等。
-
第一步,构造哈希对象–
sha1()、md5()
等:需要使用哪种算法,就使用哪个构造方法。
m = hashlib.sha1()
-
第二步,传入数据–
update('二进制数据')
:要运算散列值的数据可以分多次传入,得到的散列值与一次性传入的一模一样。
# 下面两句等同于 m.update('helloworld'.encode('utf-8')) m.update('hello'.encode('utf-8')) m.update('world'.encode('utf-8'))
由于update方法接受的是二进制数据,所以要用encode()编码。
当然,如果传入的字符串是纯英文,则可以直接在字符串前边写个b:
m.update(b'hello')
,这样更加简洁。 -
第三步,取出散列值–
digest()
或hexdigest()
:# 返回二进制数据 m.digest() # 返回:b'\xfc^\x03\x8d8\xa5p2\x08TA\xe7\xfep\x10\xb0' # 返回十六进制的字符串 m.hexdigest() # 返回:fc5e038d38a57032085441e7fe7010b0
三、密码加盐
-
撞库:
一般使用密码验证时,是将用户输入密码的散列值,与服务器保存的密码的散列值进行对比,而不是直接比较密码。散列值相同则说明密码正确。
使用哈希算法加密后的密码,被坏人获取后,可以使用撞库的方式进行破解:坏人有一个数据库,里面保存了大量的密码以及对应的散列值。坏人将获取到的散列值与与数据库里的散列值进行对比,一旦有匹配的散列值,就找出对应的密码,从而完成密码的破解。
密码加盐就是用来解决以上问题的。
-
用法:
服务端在调用
update()
方法加密密码时,在密码的特定位置“掺入”一些字符串,得到散列值保存起来。这个“掺入”字符串的过程就是加盐,“掺入”的字符串和“掺入”位置在此暂时称之为加盐规则。
客户端用户输入的密码,同样也要按照服务端的加盐规则加盐,再去获取散列值,之后才与服务端的散列值比较。这样,就大大提高了撞库的难度。