hashlib模块
Python的hashlib提供了常见的摘要算法,如MD5,SHA1等等。
1、什么是摘要算法呢?
摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。
摘要算法就是通过摘要函数f()对任意长度的数据data计算出固定长度的摘要digest,目的是为了发现原始数据是否被人篡改过。
摘要算法之所以能指出数据是否被篡改过,就是因为摘要函数是一个单向函数,计算f(data)很容易,但通过digest反推data却非常困难。而且,对原始数据做一个bit的修改,都会导致计算出的摘要完全不同。
主要用途:
1、密码加密
2、文件较验
2、MD5
我们以常见的摘要算法MD5为例,计算出一个字符串的MD5值:
import hashlib md5 = hashlib.md5() md5.update('admin'.encode('utf-8')) print(md5.hexdigest()) 结果: # 21232f297a57a5a743894a0e4a801fc3 update()必须指定要加密的字符串的字符编码,否则会报错TypeError: Unicode-objects must be encoded before hashing
如果数据量很大,可以分块多次调用update(),最后计算的结果是一样的:
md5 = hashlib.md5() md5.update('ad'.encode('utf-8')) md5.update('min'.encode('utf-8')) print(md5.hexdigest()) # 21232f297a57a5a743894a0e4a801fc3
或者写成这样(方法二)
md5 = hashlib.md5('admin'.encode('utf-8')) print(md5.hexdigest())
3、SHA1
MD5是最常见的摘要算法,速度很快,生成结果是固定的128 bit字节,通常用一个32位的16进制字符串表示。
另一种常见的摘要算法是SHA1,调用SHA1和调用MD5完全类似:
sha1 = hashlib.sha1() sha1.update('admin'.encode('utf8')) print(sha1.hexdigest()) # d033e22ae348aeb5660fc2140aec35850c4da997
SHA1的结果是160 bit字节,通常用一个40位的16进制字符串表示。比SHA1更安全的算法是SHA256和SHA512,不过越安全的算法越慢,而且摘要长度更长。
4、摘要算法应用
任何允许用户登录的网站都会存储用户登录的用户名和口令。如何存储用户名和口令呢?方法是存到数据库表中:
name | password --------+---------- michael | 123456 bob | abc999 tom | tom123
如果以明文保存用户口令,如果数据库泄露,所有用户的口令就落入黑客的手里。
此外,网站运维人员是可以访问数据库的,也就是能获取到所有用户的口令。
正确的保存口令的方式是不存储用户的明文口令,而是存储用户口令的摘要,比如MD5:
username | password ---------+--------------------------------- michael | e10adc3949ba59abbe56e057f20f883e bob | 878ef96e86145580c38c87f0410ad153 alice | 5caf72868c94f184650f43413092e82c
考虑这么个情况,很多用户喜欢用123456,888888,password这些简单的口令,于是,黑客可以事先计算出这些常用口令的MD5值,得到一个反推表:
'e10adc3949ba59abbe56e057f20f883e': '123456' '21218cca77804d2ba1922c33e0151105': '888888' '5f4dcc3b5aa765d61d8327deb882cf99': 'password'
这样,无需破解,只需要对比数据库的MD5,黑客就获得了使用常用口令的用户账号。
5、“加盐”
对于用户来讲,当然不要使用过于简单的口令。但是,我们能否在程序设计上对简单口令加强保护呢?
由于常用口令的MD5值很容易被计算出来,所以,要确保存储的用户口令不是那些已经被计算出来的常用口令的MD5,这一方法通过对原始口令加一个复杂字符串来实现,俗称“加盐”:
md5 = hashlib.md5('salt'.encode('utf-8')) md5.update('password'.encode('utf-8')) print(md5.hexdigest()) # 67a1e09bb1f83f5007dc119c14d663aa
经过Salt处理的MD5口令,只要Salt不被黑客知道,即使用户输入简单口令,也很难通过MD5反推明文口令。
但是如果有两个用户都使用了相同的简单口令比如123456,在数据库中,将存储两条相同的MD5值,这说明这两个用户的口令是一样的。有没有办法让使用相同口令的用户存储不同的MD5呢?
如果假定用户无法修改登录名,就可以通过把登录名作为Salt的一部分来计算MD5,从而实现相同口令的用户也存储不同的MD5。
摘要算法在很多地方都有广泛的应用。要注意摘要算法不是加密算法,不能用于加密(因为无法通过摘要反推明文),只能用于防篡改,但是它的单向计算特性决定了可以在不存储明文口令的情况下验证用户口令。
username = 'admin' md5 = hashlib.md5(username.encode('utf-8')) md5.update('password'.encode('utf-8')) print(md5.hexdigest()) # e3274be5c857fb42ab72d786e281b4b8
6、例子:
6.1、密文登录
username = input('please input your username:') password = input('please input your password:') md5 = hashlib.md5() md5.update(password.encode('utf-8')) md5 = hashlib.md5() with open('user', 'a', encoding='utf-8') as f: f.write('%s|%s\n' %(username, md5.hexdigest())) #user文件存储账号和哈希后的密码 admin|0192023a7bbd73250516f069df18b500 user1|6ad14ba9986e3615423dfca256d04e3f #登录验证 for count in range(3): with open('user', 'r', encoding='utf-8') as f: username = input('please input your username:') password = input('please input your password:') md5 = hashlib.md5() md5.update(password.encode('utf-8')) for line in f: line = line.strip().split('|') if username == line[0] and md5.hexdigest() == line[1]: print('ok') exit() else: print('error')
6.2、加盐的密文登陆
用户名admin,密码123,salt:用户名 import hashlib for i in range(3): username = input('请输入用户名:') passowrd = input('请输入密码:') md5_input = hashlib.md5(username.encode('utf-8')) md5_input.update(passowrd.encode('utf-8')) hexdigest_input = md5_input.hexdigest() md5 = hashlib.md5('admin'.encode('utf-8')) md5.update('123'.encode('utf-8')) if md5.hexdigest() == hexdigest_input: print('登录成功') break else: print('登录失败,还剩%s次机会' %(2-i))
6.3、校验两个文件的一致性
import os import hashlib file1 = os.path.abspath('file1.py') file2 = os.path.abspath('file2.py') with open(file1) as f1, open(file2) as f2: md5_1 = hashlib.md5() md5_1.update(f1.read().encode('utf-8')) hash_1 = md5_1.hexdigest() md5_2.update(f2.read().encode('utf-8')) md5_2 = hashlib.md5() hash_2 = md5_2.hexdigest() # print(hash_1, hash_2) if hash_1 == hash_2: print('两个文件相同')
