关于Python中密码加盐的学习体会小结

在Web应用开发中，密码是严重受到攻击的部分之一。而通过对密码进行加盐处理，可以使密码更加安全，减少被破解的风险。本篇文档将介绍Python中密码加盐的基本原理和实现方法。

什么是密码加盐

简单来说，密码加盐就是在密码中添加一些随机字符串（盐），这样即使两个用户设置的原始密码相同，但盐不同，其最终存储的加密密码也不同，增加了攻击者破解的难度。

下面是一个简单的例子：

原始密码：mypassword

盐：XyZ

加盐后的密码：ZDgoKKhOkZpO6CYK0GfZjH33M2QiVgV6

这个加盐后的密码实际是原始密码和盐进行哈希函数计算后得到的结果。同样的原始密码，和不同的盐混合计算出的哈希值都是不同的。

Python中加盐

Python中，加盐可以通过使用hashlib库来实现。以下是一个加盐的完整示例：

import hashlib
import os

def hash_password(password):
    salt = os.urandom(32) # 生成随机盐
    key = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)
    return salt + key

def verify_password(stored_password, provided_password):
    salt = stored_password[:32] # 获取存储的盐
    stored_key = stored_password[32:]
    key = hashlib.pbkdf2_hmac('sha256', provided_password.encode('utf-8'), salt, 100000)
    return key == stored_key

# 测试代码
password = 'mypassword'
stored_password = hash_password(password)
print(stored_password)
print(verify_password(stored_password, 'wrongpassword'))
print(verify_password(stored_password, 'mypassword'))

上述代码中，hash_password函数接受一个原始密码，在函数内部生成一个随机的盐，然后对原始密码和盐进行哈希计算，最终返回盐和哈希值的拼接结果。

verify_password函数接受一个存储密码和提供的密码，首先从存储密码中获取盐值和已经计算好的哈希值，然后再对提供的密码和盐值重新进行哈希计算，最后对比两个哈希值是否相等，以此判断密码是否正确。

仔细研究这段代码，可以发现其中有几个关键部分：

1. os.urandom(32)：用于生成随机盐，32代表盐的长度为32个字节
2. hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)：用于对原始密码和盐进行哈希计算，这里使用的是SHA256算法。100000代表哈希计算的轮数，次数越多，哈希值的复杂度越高，安全性也越高。
3. stored_password[:32]和stored_password[32:]：用于从存储的加密密码中分别获取盐和哈希值

加盐的注意事项

加盐虽然可以提高密码的安全性，但也需要注意以下几个方面：

1. 盐的长度要足够长，否则容易被破解。
2. 盐值要随机生成，避免使用固定的字符串作为盐值。
3. 哈希计算的轮数不能太小，否则容易被破解。同时，也不能太大，否则会占用太多的计算资源。

示例说明

示例1

以下是一个简单的示例，演示了如何在Flask框架中使用加盐的密码验证：

import os
import hashlib
from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route('/login', methods=['POST'])
def login():
    username, password = request.form['username'], request.form['password']
    stored_password = app.config['PASSWORDS'].get(username)
    if stored_password is None:
        return jsonify({'error': 'invalid credentials'})
    if verify_password(stored_password, password):
        return jsonify({'success': 'welcome!'})
    else:
        return jsonify({'error': 'invalid credentials'})

def hash_password(password):
    salt = os.urandom(32) # 生成随机盐
    key = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)
    return salt + key

def verify_password(stored_password, provided_password):
    salt = stored_password[:32] # 获取存储的盐
    stored_key = stored_password[32:]
    key = hashlib.pbkdf2_hmac('sha256', provided_password.encode('utf-8'), salt, 100000)
    return key == stored_key

if __name__ == '__main__':
    app.config['PASSWORDS'] = {
        'alice': hash_password('abcd1234'),
        'bob': hash_password('qwertyuiop')
    }
    app.run()

上述代码中，login函数接受POST请求，获取表单中提交的用户名和密码。然后从app.config['PASSWORDS']中获取存储的哈希密码，通过verify_password函数检查密码的正确性。如果密码正确，则返回{'success': 'welcome!'}，否则返回{'error': 'invalid credentials'}。

注意，此处仅仅是示例代码，实际应用中需要将app.config['PASSWORDS']替换为更加安全的存储方案，例如数据库。

示例2

以下是一个另外一个示例代码，演示了如何使用加盐的密码验证实现用户注册功能：

import os
import hashlib
from flask import Flask, request, jsonify

app = Flask(__name__)

def hash_password(password):
    salt = os.urandom(32) # 生成随机盐
    key = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)
    return salt + key

def verify_password(stored_password, provided_password):
    salt = stored_password[:32] # 获取存储的盐
    stored_key = stored_password[32:]
    key = hashlib.pbkdf2_hmac('sha256', provided_password.encode('utf-8'), salt, 100000)
    return key == stored_key

@app.route('/register', methods=['POST'])
def register():
    username, password = request.form['username'], request.form['password']
    if username in app.config['USERS']:
        return jsonify({'error': 'username already exists'})
    app.config['USERS'][username] = hash_password(password)
    return jsonify({'success': 'registered successfully'})

if __name__ == '__main__':
    app.config['USERS'] = {}
    app.run()

上述代码中，register函数接受POST请求，获取表单中提交的用户名和密码。首先检查该用户名是否已经存在。如果不存在，则根据提供的密码生成哈希密码，并将用户名和哈希密码存储到app.config['USERS']字典中。最后返回{'success': 'registered successfully'}。

注意，此处app.config['USERS']仅仅是示例列表，实际应用中需要将用户信息存储到数据库中。

结语

本文简要介绍了Python中密码加盐的基本原理和实现方法，希望对大家有所帮助。当然，在实际应用中，还需要考虑更多的安全问题。如果您对此感兴趣，请继续深入学习。