Python——第五章：hashlib模块

hashlib 模块（hash）算法

hashlib 模块是 Python 中用于加密散列（hash）算法的模块。它提供了对常见的哈希算法（如MD5、SHA-1、SHA-256等）的支持，使得开发者可以轻松地在其应用中进行数据的安全散列。

以下是 hashlib 模块中一些常用的哈希算法：

1. MD5 (Message Digest Algorithm 5): 产生128位的哈希值，通常以32位十六进制数字表示。

2. SHA-1 (Secure Hash Algorithm 1): 产生160位的哈希值，通常以40位十六进制数字表示。然而，由于SHA-1存在一些弱点，推荐使用更安全的算法。

3. SHA-224, SHA-256, SHA-384, SHA-512: SHA-2 系列，分别产生224、256、384和512位的哈希值。

md5算法：

我们使用 .md5() 创建了一个 MD5 哈希对象，然后使用 .update() 方法更新了输入数据，最后使用 .hexdigest() 方法获取了最终的 MD5 哈希值。

import hashlib

# 创建MD5对象
obj = hashlib.md5()
# 把要加密的信息传递给obj
obj.update("666666".encode("utf-8"))
# 从obj中拿到密文
mi = obj.hexdigest()
print(mi)

#运行结果
f379eaf3c831b04de153469d1bec345e

这里注意：update要求，我们给定的字符串需要先被编码encode("utf-8")，再进行哈希

obj.update("666666")

#运行结果
    obj.update("666666")
TypeError: Strings must be encoded before hashing

MD5哈希函数算法是单向的，也就是用拿到的密码是无法反向解密的。因此，通常存储密码时，都是存储其哈希值而不是明文密码。

但是因为MD5的算法已经存在很多年了，现在很多网站上都有MD5的撞库查询法：

这是我们拿加密好的值f379eaf3c831b04de153469d1bec345e来查询为666666的结果

如果一个网站仍然使用MD5来存储密码，这是一种不安全的做法，因为攻击者可以使用预先计算好的MD5散列（称为彩虹表）或现代碰撞攻击技术来破解密码。现代的密码存储做法通常包括使用“盐”（salt）和强大的哈希算法，以增加密码的安全性。

解决撞库的方法:加盐（salt）

加盐的基本思想是在计算哈希值之前，将一个随机生成的字符串与用户密码组合在一起。这个随机字符串就是“盐”（salt），每个用户都有一个唯一的盐值。通过在密码和盐的基础上计算哈希，可以避免使用相同密码的用户在哈希值上产生相同的模式。

加盐操作是一种提高密码安全性的常见做法，可以用于任何哈希算法。无论是MD5、SHA-1、SHA-256，还是其他更安全的哈希算法，都可以通过加盐操作来增加密码的复杂性，提高安全性。

盐必须是bytes类型，这里我们随便输入一个盐b'jkklwajdkljilasd'

obj = hashlib.md5(b'jkklwajdkljilasd')
obj.update("666666".encode("utf-8"))
print(obj.hexdigest())

#运行结果
f96b5f9f131ff8f0d7277b02cd243cc5

使用密码做盐，进行md5加密

def func(salt, s):
    obj = hashlib.md5(salt)
    obj.update(s.encode("utf-8"))
    return obj.hexdigest()

username = input("请输入你的用户名")
password = input("请输入你的密码")
mi_password = func(password.encode("utf-8"), password)
with open("user.txt", mode="w", encoding="utf-8") as f:
    f.write(username)
    f.write("\n")
    f.write(mi_password)

#运行结果，生成user.txt文档:
admin
bc177a7a9c7df69c248647b4dfc6fd84

使用动态盐,进行hash加密

def func(salt, s):
    obj = hashlib.md5(salt)
    obj.update(s.encode("utf-8"))
    return obj.hexdigest()

username = input("请输入你的用户名")
password = input("请输入你的密码")
mi_password = func(password.encode("utf-8"), password)
with open("user.txt", mode="w", encoding="utf-8") as f:
    f.write(username)
    f.write("\n")
    f.write(mi_password)


# 登录验证
username = input("用户名:")
password = input("密码:")
password = func(password.encode("utf-8"), password)

with open("user.txt", mode="r", encoding="utf-8") as f:
    uname = f.readline().strip()
    upassword = f.readline().strip()

if username == uname and password == upassword:
    print("登录成功")
else:
    print("登录失败")

在实际应用中，选择适当的哈希算法取决于具体的安全需求。在密码存储等敏感场景，推荐使用较强的哈希算法，如 SHA-256。

计算文件的md5值

计算文件的md5值(用rb模式读取字节),可以选择性加盐(b"abcdefg")

obj = hashlib.md5(b"abcdefg")
with open("wf.txt", mode="rb") as f:
    for line in f:
        obj.update(line)
        
print(obj.hexdigest())

# 运行得到的结果
981efc8315eee7b0e1ba4540565daae5

计算文件的md5值，是为了判断文件的一致性——两个相同的文件的md5的值是相等的。

判断文件的MD5值的一致性有几个重要的用途：

1. 文件完整性检查： MD5值是文件的唯一标识符，即使文件大小相同，只要文件内容有一点改变，其MD5值就会截然不同。通过比较文件的MD5值，可以检测文件是否在传输过程中发生了错误、损坏或被篡改。这在文件传输、存储和备份等场景中非常有用，确保文件在处理过程中保持完整性。

2. 验证文件下载： 在下载文件时，用户可以通过比较下载后文件的MD5值与提供的MD5值来验证文件的完整性。这有助于确保文件在下载过程中没有被篡改（替换病毒文件、留下恶意后门）或损坏。

3. 软件分发和更新： 在软件分发和更新的过程中，开发者通常提供文件的MD5值供用户验证。用户可以通过计算文件的MD5值并与提供的值比较，确保下载的软件包是原始、未经篡改的版本。

4. 数据去重： 在存储大量文件的系统中，可以使用文件的MD5值来进行数据去重。相同内容的文件具有相同的MD5值，这可以帮助系统节省存储空间。

5. 数字取证： 在数字取证和安全领域，MD5值常用于检测文件的变化，以确定是否存在潜在的安全威胁。

在我们上传文件的时候（百度网盘、QQ邮箱、QQ在线传文件），系统首先计算你要上传的这个文件的md5.拿着这个值去网盘的数据库中，搜索有没有相同的md5。如果有，就是已经上传过的（用户侧直接提示秒上传完成）。这样会大大节省网络传输压力和存盘空间压力。