hashlib模块
【一】算法介绍
-
Python的hashlib提供了常见的摘要算法
- 如MD5
- SHA1等等。
-
什么是摘要算法呢?
- 摘要算法又称哈希算法、散列算法。
- 它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。
-
摘要算法就是通过摘要函数f()对任意长度的数据data计算出固定长度的摘要digest
- 目的是为了发现原始数据是否被人篡改过。
-
摘要算法之所以能指出数据是否被篡改过,就是因为摘要函数是一个单向函数
- 计算f(data)很容易,但通过digest反推data却非常困难。
- 而且,对原始数据做一个bit的修改,都会导致计算出的摘要完全不同。
-
我们以常见的摘要算法MD5为例,计算出一个字符串的MD5值:
import hashlib
md5 = hashlib.md5()
md5.update(b'how to use md5 in python hashlib?')
print(md5.hexdigest())
# 计算结果如下:
# d26a53750bc40b38b65a520292f69306
- 如果数据量很大,可以分块多次调用update(),最后计算的结果是一样的:
import hashlib
md5 = hashlib.md5()
md5.update(b'how to use md5 in ')
md5.update(b'python hashlib?')
print(md5.hexdigest())
# 计算结果如下:
# d26a53750bc40b38b65a520292f69306
- MD5是最常见的摘要算法,速度很快,生成结果是固定的128 bit字节,通常用一个32位的16进制字符串表示。
- 另一种常见的摘要算法是SHA1,调用SHA1和调用MD5完全类似:
import hashlib
sha1 = hashlib.sha1()
sha1.update(b'how to use sha1 in ')
sha1.update(b'python hashlib?')
print(sha1.hexdigest())
# 2c76b57293ce30acef38d98f6046927161b46a44
- SHA1的结果是160 bit字节,通常用一个40位的16进制字符串表示。
- 比SHA1更安全的算法是SHA256和SHA512,不过越安全的算法越慢,而且摘要长度更长。
【二】摘要算法的应用
- 任何允许用户登录的网站都会存储用户登录的用户名和口令。
- 如何存储用户名和口令呢?
- 方法是存到数据库表中:
name | password
--------+----------
michael | 123456
bob | abc999
alice | alice2008
- 如果以明文保存用户口令,如果数据库泄露,所有用户的口令就落入黑客的手里。
- 此外,网站运维人员是可以访问数据库的,也就是能获取到所有用户的口令。
- 正确的保存口令的方式是不存储用户的明文口令,而是存储用户口令的摘要,比如MD5:
username | password
---------+---------------------------------
michael | e10adc3949ba59abbe56e057f20f883e
bob | 878ef96e86145580c38c87f0410ad153
alice | 99b1c2188db85afee403b1536010c2c9
- 考虑这么个情况,很多用户喜欢用123456,888888,password这些简单的口令
- 于是,黑客可以事先计算出这些常用口令的MD5值,得到一个反推表:
'e10adc3949ba59abbe56e057f20f883e': '123456'
'21218cca77804d2ba1922c33e0151105': '888888'
'5f4dcc3b5aa765d61d8327deb882cf99': 'password'
- 这样,无需破解,只需要对比数据库的MD5,黑客就获得了使用常用口令的用户账号。
- 对于用户来讲,当然不要使用过于简单的口令。
- 但是,我们能否在程序设计上对简单口令加强保护呢?
- 由于常用口令的MD5值很容易被计算出来
- 所以,要确保存储的用户口令不是那些已经被计算出来的常用口令的MD5
- 这一方法通过对原始口令加一个复杂字符串来实现,俗称“加盐”:
hashlib.md5("salt".encode("utf8"))
- 经过Salt处理的MD5口令,只要Salt不被黑客知道,即使用户输入简单口令,也很难通过MD5反推明文口令。
- 但是如果有两个用户都使用了相同的简单口令比如123456,在数据库中,将存储两条相同的MD5值,这说明这两个用户的口令是一样的。
- 有没有办法让使用相同口令的用户存储不同的MD5呢?
- 如果假定用户无法修改登录名,就可以通过把登录名作为Salt的一部分来计算MD5,从而实现相同口令的用户也存储不同的MD5。
- 摘要算法在很多地方都有广泛的应用。
- 要注意摘要算法不是加密算法,不能用于加密(因为无法通过摘要反推明文),只能用于防篡改,但是它的单向计算特性决定了可以在不存储明文口令的情况下验证用户口令。
【三】MD5加密在验证登录中的应用
- main.py
# -*-coding: Utf-8 -*-
# @File : login .py
# author: Chimengmeng
# blog_url : https://www.cnblogs.com/dream-ze/
# Time:2023/6/3
import os
import hashlib
from verify_code import get_verify_code
# 声明数据库位置
file_path = 'Infos' + '\\' + 'user_pwd.txt'
if not os.path.exists(file_path):
with open(file_path, 'a') as f:
f.write('')
def encrypt_decrypt(data):
# 转为二进制数据
data = data.encode('utf-8')
# 创建md5对象
md5 = hashlib.md5()
# md5进行加密
md5.update(data)
# 取出md5加密后的哈希值
encrypt_result = md5.hexdigest()
return encrypt_result
def write_read_data(data=None, cmd=0):
if cmd == 0:
with open(file_path, 'a+') as f:
f.write(data)
else:
user_list = []
user_info_data = []
with open(file_path, 'r') as f:
for line in f:
user_data = {}
line = line.strip().split('|')
username, password, salt_code = line[0], line[1], line[2]
user_data['username'] = username
user_data['password'] = password
user_data['salt_code'] = salt_code
user_list.append(username)
user_info_data.append(user_data)
return [user_list, user_info_data]
def register(username, password):
# 获得六位数的盐
salt_code = get_verify_code(6)
# 原始密码加盐
password_str = password + salt_code
# 加盐密码加密
password_encrypted = encrypt_decrypt(password_str)
# 拼接存储数据格式
user_pwd_data = f'{username}|{password_encrypted}|{salt_code}\n'
# 写入文件存储数据
write_read_data(user_pwd_data, cmd=0)
print(f'{username}注册成功,注册结束!')
def login():
# 拿到用户名列表,用户名和密码及加盐后的列表
user_list, user_data = write_read_data(data=None, cmd=1)
username_input = input('校验Username:>>>')
password_input = input('校验Password:>>>')
# 判断用户名是否存在于用户名列表中
# 存在则继续登录
if username_input in user_list:
# 循环所有用户名及信息
for info in user_data:
# 取用户名和加密后的密码
username = info['username']
password = info['password']
# 取加盐后的密码
salt_code = info['salt_code']
# 当前密码加盐
password_str = password_input + salt_code
# 当前加盐密码加密
password_encrypted = encrypt_decrypt(password_str)
if username == username_input and password == password_encrypted:
print('登陆成功!')
return True
else:
print('用户名或密码错误,登陆失败!')
main()
else:
print('用户名不存在,请注册')
main()
def main():
# 先校验用户名和密码是否存在
username = input('Username:>>>')
# 获取用户列表
user_list = write_read_data(cmd=1)[0]
# 不存在用户信息则进行注册
if username not in user_list:
print('当前用户未注册注册,注册操作开始!')
# 注册函数
password = input('Password:>>>')
register(username, password)
# 注册完成进行二次验证校验登陆
main()
else:
password = input('Password:>>>')
# 用户存在进行登陆校验
print('进行登陆操作')
# 拿到成功的结果
res = login()
# 成功则退出
if res:
print('欢迎使用')
pass
else:
# 不成功二次校验
login()
if __name__ == '__main__':
main()
- verify_code
# -*-coding: Utf-8 -*-
# @File : verify_code .py
# author: Chimengmeng
# blog_url : https://www.cnblogs.com/dream-ze/
# Time:2023/6/3
import random
'''生成六位随机 (数字 + 大小写) 验证码'''
def get_verify_code(n):
code = ''
for i in range(n):
random_int = str(random.randint(0, 9)) # 0-9之间的整数
random_upper = chr(random.randint(65, 90)) # A-Z之间的字母
random_lower = chr(random.randint(97, 122)) # a-z之间的字母
temp = random.choice([random_int, random_upper, random_lower])
code += temp
return code
if __name__ == "__main__":
res = get_verify_code(6)
print(res)