我有点困惑,加密函数的参数是一个字符串。我是否应该简单地用 str() 包装非字符串参数,例如
hashlib.sha256(str(user_id)+str(expiry_time))
hmac.new(str(random.randbits(256)))
(暂时忽略 random.randbits() 可能在密码学上不好)。编辑:我意识到 hmac 示例很愚蠢,因为我没有将密钥存储在任何地方!
sparklewhiskers
问问题
214 次
3 回答
6
好吧,通常散列函数(通常是加密函数)对字节起作用。Python 字符串基本上是字节字符串。如果要计算某个对象的哈希值,则必须将其转换为字符串表示形式。如果您想检查哈希是否正确,请确保稍后应用相同的操作。并确保您的字符串表示不包含任何您不想检查的更改数据。
编辑:由于受欢迎的请求,一个简短的提醒,Python unicode 字符串不包含字节,而是 unicode 代码点。每个 unicode 代码点包含多个字节(2 或 4,取决于 Python 解释器的编译方式)。Python 字符串只包含字节。所以 Python 字符串(类型str)是最类似于字节数组的类型。
于 2008-10-17T09:06:02.933 回答
1
你可以。
但是,对于 HMAC,您实际上希望将密钥存储在某处。没有密钥,您以后无法验证哈希值。:-)
于 2008-10-17T09:03:11.457 回答
-1
哦,Sha256 并不是真正的工业强度加密功能(尽管不幸的是它在许多网站上都非常普遍地使用)。这不是保护密码或其他关键数据的真正方法,但足以生成临时令牌
编辑:如前所述,Sha256 至少需要一些盐。没有盐,Sha256 被字典攻击(时间方面)破解的门槛很低,而且还有很多 Rainbow 表可供使用。就我个人而言,我不会使用比 Blowfish 更少的密码(但那是因为我很偏执)
于 2008-10-17T09:07:01.700 回答