bcrypt 是 Python 中用于安全存储密码的哈希库,基于 Blowfish 算法,具备加盐(Salt)和可调工作因子(Work Factor)特性,能有效抵御彩虹表和暴力破解攻击。注意:它是单向哈希,不可解密。
Python 的 bcrypt 库是专门用于密码哈希的,它的核心用法就是生成哈希和验证密码,用起来并不复杂。下面我把它的主要用法和注意事项整理了一下。
📦 安装与准备
首先,用 pip 安装 bcrypt 库:
pip install bcrypt
使用时,需要注意密码和盐值都需要是字节(bytes)类型,不是普通的字符串。通常用 .encode('utf-8') 转换。
🔐 密码哈希生成
1. 生成盐值
盐值是一串随机字符,用来和密码混合,防止彩虹表攻击。使用 gensalt() 函数生成,可以指定 rounds 参数来控制计算强度(默认12,推荐12-14)。
import bcrypt
# 生成一个默认强度的盐值 (rounds=12)
salt = bcrypt.gensalt()
# 生成一个强度更高 (rounds=14) 的盐值
salt_high_cost = bcrypt.gensalt(rounds=14)
2. 生成哈希
使用 hashpw() 函数,将密码和盐值作为参数传入,得到一个完整的、包含盐值的哈希值。
password = b"my_secret_password"
salt = bcrypt.gensalt()
# 生成哈希值,可以安全地存入数据库
hashed_password = bcrypt.hashpw(password, salt)
print(hashed_password)
# 输出类似: b'$2b$12$lQ.....'
注意:生成的哈希值里已经包含了盐值和版本等信息,不需要单独存储盐值。
✅ 密码验证
验证时,使用 checkpw() 函数,传入用户输入的明文密码和之前存储的哈希值。它会自动从哈希值中提取盐值,重新计算并比对。
# 模拟从数据库读取的哈希值
stored_hash = b'$2b$12$lQ.....'
# 用户登录时输入的密码
user_input_password = b"my_secret_password"
# 验证,返回 True 或 False
is_correct = bcrypt.checkpw(user_input_password, stored_hash)
if is_correct:
print("密码正确")
else:
print("密码错误")
⚙️ 进阶用法与注意事项
-
调整工作因子 (rounds):
rounds参数控制哈希计算迭代次数(2^rounds次),值越大越安全,但计算耗时也越长。你需要根据服务器性能来平衡。# 示例:使用 rounds=14 salt = bcrypt.gensalt(rounds=14) -
密码长度限制:bcrypt 内部只处理密码的前 72 个字节,超出的部分会被忽略。为了安全,最好在业务层对密码长度做出限制,例如在前端和后端都限制在 72 个字符以内,并给出清晰提示。
-
密钥派生 (kdf):除了常规的密码哈希,bcrypt 还提供了一个
kdf()函数,可以从密码生成固定长度的加密密钥,用于其他加密场景。使用场景比较特定。用于生成加密密钥(非密码哈希),需指定固定盐值。
key = bcrypt.kdf(
password=b"secret",
salt=b"fixed_salt_16bytes!",
desired_key_bytes=32,
rounds=100
)
- 版本前缀:推荐使用
2b前缀(gensalt(prefix=b"2b")),避免旧版2a潜在漏洞。
扫一扫
1154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
