第七個模塊 hashilib

hashilib

　　兩個功能：密碼加密、校驗文件的一致性

算法介紹

Python的hashlib提供了常見的摘要算法，如MD5，SHA1等等。

什麼是摘要算法呢？摘要算法又稱哈希算法、散列算法。它經過一個函數，把任意長度的數據轉換爲一個長度固定的數據串（一般用16進制的字符串表示）。

摘要算法就是經過摘要函數f()對任意長度的數據data計算出固定長度的摘要digest，目的是爲了發現原始數據是否被人篡改過。

摘要算法之因此能指出數據是否被篡改過，就是由於摘要函數是一個單向函數，計算f(data)很容易，但經過digest反推data卻很是困難。並且，對原始數據作一個bit的修改，都會致使計算出的摘要徹底不一樣。

咱們以常見的摘要算法MD5爲例，計算出一個字符串的MD5值：

import hashlib
 
md5 = hashlib.md5()
md5.update('how to use md5 in python hashlib?')
print md5.hexdigest()

計算結果以下：
d26a53750bc40b38b65a520292f69306

若是數據量很大，能夠分塊屢次調用update()，最後計算的結果是同樣的：

md5 = hashlib.md5()
md5.update('how to use md5 in ')
md5.update('python hashlib?')
print md5.hexdigest()

MD5是最多見的摘要算法，速度很快，生成結果是固定的128 bit字節，一般用一個32位的16進制字符串表示。另外一種常見的摘要算法是SHA1，調用SHA1和調用MD5徹底相似：

import hashlib
 
sha1 = hashlib.sha1()
sha1.update('how to use sha1 in ')
sha1.update('python hashlib?')
print sha1.hexdigest()

SHA1的結果是160 bit字節，一般用一個40位的16進制字符串表示。比SHA1更安全的算法是SHA256和SHA512，不過越安全的算法越慢，並且摘要長度更長。

摘要算法應用

任何容許用戶登陸的網站都會存儲用戶登陸的用戶名和口令。如何存儲用戶名和口令呢？方法是存到數據庫表中：

name    | password
--------+----------
michael | 123456
bob     | abc999
alice   | alice2008

若是以明文保存用戶口令，若是數據庫泄露，全部用戶的口令就落入黑客的手裏。此外，網站運維人員是能夠訪問數據庫的，也就是能獲取到全部用戶的口令。正確的保存口令的方式是不存儲用戶的明文口令，而是存儲用戶口令的摘要，好比MD5：

username | password
---------+---------------------------------
michael  | e10adc3949ba59abbe56e057f20f883e
bob      | 878ef96e86145580c38c87f0410ad153
alice    | 99b1c2188db85afee403b1536010c2c9

考慮這麼個狀況，不少用戶喜歡用123456，888888，password這些簡單的口令，因而，黑客能夠事先計算出這些經常使用口令的MD5值，獲得一個反推表：

'e10adc3949ba59abbe56e057f20f883e': '123456'
'21218cca77804d2ba1922c33e0151105': '888888'
'5f4dcc3b5aa765d61d8327deb882cf99': 'password'

這樣，無需破解，只須要對比數據庫的MD5，黑客就得到了使用經常使用口令的用戶帳號。

對於用戶來說，固然不要使用過於簡單的口令。可是，咱們可否在程序設計上對簡單口令增強保護呢？

因爲經常使用口令的MD5值很容易被計算出來，因此，要確保存儲的用戶口令不是那些已經被計算出來的經常使用口令的MD5，這一方法經過對原始口令加一個複雜字符串來實現，俗稱「加鹽」：

hashlib.md5("salt".encode("utf8"))

通過Salt處理的MD5口令，只要Salt不被黑客知道，即便用戶輸入簡單口令，也很難經過MD5反推明文口令。

可是若是有兩個用戶都使用了相同的簡單口令好比123456，在數據庫中，將存儲兩條相同的MD5值，這說明這兩個用戶的口令是同樣的。有沒有辦法讓使用相同口令的用戶存儲不一樣的MD5呢？

若是假定用戶沒法修改登陸名，就能夠經過把登陸名做爲Salt的一部分來計算MD5，從而實現相同口令的用戶也存儲不一樣的MD5。

摘要算法在不少地方都有普遍的應用。要注意摘要算法不是加密算法，不能用於加密（由於沒法經過摘要反推明文），只能用於防篡改，可是它的單向計算特性決定了能夠在不存儲明文口令的狀況下驗證用戶口令。

# 登陸 —— hashilib
# 數據庫泄露
# 存儲用戶密碼的時候 ： 不要存儲明文
# 對用戶輸入的密碼進行一種計算 計算以後 會獲得一個新的 固定的 字符串

# hashlib模塊  摘要算法  --->  單向不可逆
# 包含了多種算法
# 將一個字符串進行摘要運算 拿到不變的 固定長度的值
import hashlib
# md5obj = hashlib.md5()   # 實例化一個md5摘要算法的對象
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# ret = md5obj.hexdigest() # 獲取算法的結果 hex+digest 16進制+消化
# print(ret,type(ret),len(ret))

# 註冊 ：alex3714  -摘要-> 文件裏
# 登陸 ：alex3714  -摘要-> 和文件裏比對
# md5obj = hashlib.sha1()   # 實例化一個md5(sha法)摘要算法的對象 40位
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# ret = md5obj.hexdigest() # 獲取算法的結果 hex+digest 16進制+消化
# print(ret,type(ret),len(ret))

# md5obj = hashlib.sha256() # 實例化一個md5摘要算法的對象 64
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# ret = md5obj.hexdigest() # 獲取算法的結果 hex+digest 16進制+消化
# print(ret,type(ret),len(ret))

# 撞庫
# 別人有一個龐大的庫 ：字符串 --> md5值的關係
# 加鹽
# md5obj = hashlib.md5('tesla'.encode('utf-8'))   # 實例化一個md5摘要算法的對象，加鹽
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# ret = md5obj.hexdigest() # 獲取算法的結果 hex+digest 16進制+消化
# #aee949757a2e698417463d47acac93df
# print(ret)

# 動態加鹽
# userinfo表
# username = 'alex'
# md5obj = hashlib.md5(username.encode('utf-8'))   # 實例化一個md5摘要算法的對象，加鹽
# md5obj.update('alex3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# ret = md5obj.hexdigest() # 獲取算法的結果 hex+digest 16進制+消化
# #aee949757a2e698417463d47acac93df
# print(ret)

# 校驗文件一致性d
# 自動化 —— python代碼來作驗證
# import hashlib
# md5obj = hashlib.md5()   # 實例化一個md5摘要算法的對象
# md5obj.update('alex'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# md5obj.update('3714'.encode('utf-8')) # 使用md5算法的對象來操做字符串
# print(md5obj.hexdigest())

# aee949757a2e698417463d47acac93df
# aee949757a2e698417463d47acac93df

# 寫一個函數 接收兩個文件的地址 返回T/F

加密方法