第七个模块 hashilib

hashilib

　　两个功能：密码加密、校验文件的一致性

算法介绍

Python的hashlib提供了常见的摘要算法，如MD5，SHA1等等。

什么是摘要算法呢？摘要算法又称哈希算法、散列算法。它经过一个函数，把任意长度的数据转换为一个长度固定的数据串（一般用16进制的字符串表示）。

摘要算法就是经过摘要函数f()对任意长度的数据data计算出固定长度的摘要digest，目的是为了发现原始数据是否被人篡改过。

摘要算法之因此能指出数据是否被篡改过，就是由于摘要函数是一个单向函数，计算f(data)很容易，但经过digest反推data却很是困难。并且，对原始数据作一个bit的修改，都会致使计算出的摘要彻底不一样。

咱们以常见的摘要算法MD5为例，计算出一个字符串的MD5值：

import hashlib
 
md5 = hashlib.md5()
md5.update('how to use md5 in python hashlib?')
print md5.hexdigest()

计算结果以下：
d26a53750bc40b38b65a520292f69306

若是数据量很大，能够分块屡次调用update()，最后计算的结果是同样的：

md5 = hashlib.md5()
md5.update('how to use md5 in ')
md5.update('python hashlib?')
print md5.hexdigest()

MD5是最多见的摘要算法，速度很快，生成结果是固定的128 bit字节，一般用一个32位的16进制字符串表示。另外一种常见的摘要算法是SHA1，调用SHA1和调用MD5彻底相似：

import hashlib
 
sha1 = hashlib.sha1()
sha1.update('how to use sha1 in ')
sha1.update('python hashlib?')
print sha1.hexdigest()

SHA1的结果是160 bit字节，一般用一个40位的16进制字符串表示。比SHA1更安全的算法是SHA256和SHA512，不过越安全的算法越慢，并且摘要长度更长。

摘要算法应用

任何容许用户登陆的网站都会存储用户登陆的用户名和口令。如何存储用户名和口令呢？方法是存到数据库表中：

name    | password
--------+----------
michael | 123456
bob     | abc999
alice   | alice2008

若是以明文保存用户口令，若是数据库泄露，全部用户的口令就落入黑客的手里。此外，网站运维人员是能够访问数据库的，也就是能获取到全部用户的口令。正确的保存口令的方式是不存储用户的明文口令，而是存储用户口令的摘要，好比MD5：

username | password
---------+---------------------------------
michael  | e10adc3949ba59abbe56e057f20f883e
bob      | 878ef96e86145580c38c87f0410ad153
alice    | 99b1c2188db85afee403b1536010c2c9

考虑这么个状况，不少用户喜欢用123456，888888，password这些简单的口令，因而，黑客能够事先计算出这些经常使用口令的MD5值，获得一个反推表：

'e10adc3949ba59abbe56e057f20f883e': '123456'
'21218cca77804d2ba1922c33e0151105': '888888'
'5f4dcc3b5aa765d61d8327deb882cf99': 'password'

这样，无需破解，只须要对比数据库的MD5，黑客就得到了使用经常使用口令的用户帐号。

对于用户来说，固然不要使用过于简单的口令。可是，咱们可否在程序设计上对简单口令增强保护呢？

因为经常使用口令的MD5值很容易被计算出来，因此，要确保存储的用户口令不是那些已经被计算出来的经常使用口令的MD5，这一方法经过对原始口令加一个复杂字符串来实现，俗称“加盐”：

hashlib.md5("salt".encode("utf8"))

通过Salt处理的MD5口令，只要Salt不被黑客知道，即便用户输入简单口令，也很难经过MD5反推明文口令。

可是若是有两个用户都使用了相同的简单口令好比123456，在数据库中，将存储两条相同的MD5值，这说明这两个用户的口令是同样的。有没有办法让使用相同口令的用户存储不一样的MD5呢？

若是假定用户没法修改登陆名，就能够经过把登陆名做为Salt的一部分来计算MD5，从而实现相同口令的用户也存储不一样的MD5。

摘要算法在不少地方都有普遍的应用。要注意摘要算法不是加密算法，不能用于加密（由于没法经过摘要反推明文），只能用于防篡改，可是它的单向计算特性决定了能够在不存储明文口令的状况下验证用户口令。

# 登陆 —— hashilib
# 数据库泄露
# 存储用户密码的时候 ： 不要存储明文
# 对用户输入的密码进行一种计算 计算以后 会获得一个新的 固定的 字符串

# hashlib模块  摘要算法  --->  单向不可逆
# 包含了多种算法
# 将一个字符串进行摘要运算 拿到不变的 固定长度的值
import hashlib
# md5obj = hashlib.md5()   # 实例化一个md5摘要算法的对象
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# ret = md5obj.hexdigest() # 获取算法的结果 hex+digest 16进制+消化
# print(ret,type(ret),len(ret))

# 注册 ：alex3714  -摘要-> 文件里
# 登陆 ：alex3714  -摘要-> 和文件里比对
# md5obj = hashlib.sha1()   # 实例化一个md5(sha法)摘要算法的对象 40位
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# ret = md5obj.hexdigest() # 获取算法的结果 hex+digest 16进制+消化
# print(ret,type(ret),len(ret))

# md5obj = hashlib.sha256() # 实例化一个md5摘要算法的对象 64
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# ret = md5obj.hexdigest() # 获取算法的结果 hex+digest 16进制+消化
# print(ret,type(ret),len(ret))

# 撞库
# 别人有一个庞大的库 ：字符串 --> md5值的关系
# 加盐
# md5obj = hashlib.md5('tesla'.encode('utf-8'))   # 实例化一个md5摘要算法的对象，加盐
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# ret = md5obj.hexdigest() # 获取算法的结果 hex+digest 16进制+消化
# #aee949757a2e698417463d47acac93df
# print(ret)

# 动态加盐
# userinfo表
# username = 'alex'
# md5obj = hashlib.md5(username.encode('utf-8'))   # 实例化一个md5摘要算法的对象，加盐
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# ret = md5obj.hexdigest() # 获取算法的结果 hex+digest 16进制+消化
# #aee949757a2e698417463d47acac93df
# print(ret)

# 校验文件一致性d
# 自动化 —— python代码来作验证
# import hashlib
# md5obj = hashlib.md5()   # 实例化一个md5摘要算法的对象
# md5obj.update('alex'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# md5obj.update('3714'.encode('utf-8')) # 使用md5算法的对象来操做字符串
# print(md5obj.hexdigest())

# aee949757a2e698417463d47acac93df
# aee949757a2e698417463d47acac93df

# 写一个函数 接收两个文件的地址 返回T/F

加密方法