摘要原理
摘要是一种算法的总称, 使用这种算法对原始数据进行运算后生成字符串.不同的原始数据理论上计算的结果是不同的.
这样达到的效果是针对原始数据生成其独一无二的'指纹'.通过对比数据的'指纹'可以识别数据的真伪.摘要算法是不可逆的, 即使拿到了这个指纹, 也无法利用这个指纹恢复出原始数据.因此安全性有一定的保障.
常见的摘要算法有md5, sha1, sha256等.md5和sha1现在已经不是安全的摘要算法了.谷歌号称已经可以产生任意"碰撞".碰撞的意思是说不同的原始数据有了同样的运算结果.如果可以产生任意碰撞, 就意味着任意的结果都可以用另一个原始数据来仿冒, 所以不安全了.
在保存用户的密码时,常用的方法是使用摘要算法生成用户密码原始数据的摘要,在服务器数据库里面只保存这个摘要而不是用户的原始密码.这样做的好处是即使数据库被黑客攻破, 被盗的也只是用户的密码的摘要而不是原始密码.安全性有一定的提高.
可即便是这样做, 安全性的提高也是有限的, 因为很多用户使用的是简单密码.而这些简单密码的"指纹"早已被计算出来并生成了一个"指纹库", 即彩虹表.如果用户使用了简单的密码, 如生日/单词等, 黑客可以通过比对, 轻易地获得用户的原始密码.
为了解决这个问题, 进一步提高安全性, "加盐"的操作被应用在用户密码保存上.
加盐原理
为了避免用户的简单密码可以被轻易识别, 在生成摘要时, 我们可以加点作料.作料可以是一个固定的字符串, 也可以是一个根据用户不同的随机字符串.如果是后者, 这个随机字符串也需要被存储在服务器中.
具体流程
1.用户输入密码
2.服务接受到密码后加盐转成复杂字符串
3.对这个字符串使用摘要算法
4.和数据库中存储结果比对.
Python实现
# 定义函数将用户密码转为加盐字符串
@staticmethod
def salted_password(password, salt='$!@>>HUI&DWQa`'):
"""$!@>>HUI&DWQa`"""
salted = password + salt
hash = hashlib.sha256(salted.encode('ascii')).hexdigest()
return hash
# 用户登录时比对加盐字符串
@classmethod
def login(cls, form):
salted = cls.salted_password(form['password'])
u = User.find_by(username=form['username'], password=salted)
if u is not None:
result = '登录成功'
return u, result
else:
result = '用户名或者密码错误'
return User.guest(), result
#用户注册时存储加盐字符串
@classmethod
def register(cls, form):
valid = len(form['username']) > 2 and len(form['password']) > 2
if valid:
form['password'] = cls.salted_password(form['password'])
u = User.new(form)
result = '注册成功
{}
'.format(User.all())
return u, result
else:
result = '用户名或者密码长度必须大于2'
return User.guest(), result