一、了解hash
Python的hashlib提供了常见的摘要算法,如MD5,SHA1等等。
什么是摘要算法呢?摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。
摘要算法就是通过摘要函数f()对任意长度的数据data计算出固定长度的摘要digest,目的是为了发现原始数据是否被人篡改过。
摘要算法之所以能指出数据是否被篡改过,就是因为摘要函数是一个单向函数,计算f(data)很容易,但通过digest反推data却非常困难。而且,对原始数据做一个bit的修改,都会导致计算出的摘要完全不同。
加密算法与摘要算法的区别:加密可解密,摘要不可逆;
用法 | 说明 | 示例 |
md5.update() | 对数据进行摘要;入参的数据类型为字节串 | md5.update('sxm'.encode()) |
md5.digest() | 对数据进行解析 | |
md5.hexdigest() | 对数据解析成16进制 |
二、摘要算法案例
计算一个字符串的摘要值
import hashlib
md5 = hashlib.md5()
print(md5) #新生成的一个md5对象
md5.update('sxm'.encode())
# md5.update(b'sxm') # 使用b'字符串'仅支持ASCII码中包含的字符串
print(md5.digest(), len(md5.digest()))
# b'\xe2\x89\xa4\xd5z\x1a\x85\xb0g\xe9\x01Z\xd7E\xdc\x18' 16
print(md5.hexdigest(), len(md5.hexdigest()))
# e289a4d57a1a85b067e9015ad745dc18 32
如果数据量很大,可以分块多次调用update(),最后的结果是一样的;
md5 = hashlib.md5()
md5.update('how to use md5 in ')
md5.update('python hashlib?')
print md5.hexdigest()
MD5是最常见的摘要算法,速度很快,生成结果是固定的128 bit字节,通常用一个32位的16进制字符串表示。另一种常见的摘要算法是SHA1,调用SHA1和调用MD5完全类似:
import hsshlib
# SHA1算法
sha1 = hashlib.sha1()
sha1.update('sxm'.encode())
print(sha1.hexdigest(), len(sha1.hexdigest()))
SHA1的结果是160 bit字节,通常用一个40位的16进制字符串表示。比SHA1更安全的算法是SHA256和SHA512,不过越安全的算法越慢,而且摘要长度更长。
三、摘要算法应用
数据库保存用户名密码,如果以明文保存用户口令,如果数据库泄露,所有用户的口令就落入黑客的手里。此外,网站运维人员是可以访问数据库的,也就是能获取到所有用户的口令。正确的保存口令的方式是不存储用户的明文口令,而是存储用户口令的摘要,比如MD5;
考虑这么个情况,很多用户喜欢用123456,888888,password这些简单的口令,于是,黑客可以事先计算出这些常用口令的MD5值,得到一个反推表;这样,黑客无需破解,就可以获得一些常用命令的md5值;
加盐:通过对原始口令加一个复杂字符串再进行摘要,以防止撞库;