開發網站離不開用戶的註冊與登錄，今天來說說在網站開發的時候關於用戶密碼的保存方式，傳統的方式有以下幾種

• 明文存儲：肉眼就可以識別，沒有任何安全性。 誰用誰傻缺
• 加密存儲：通過一定的變換形式，使得密碼原文不易被識別。

密碼加密的幾類方式：

1. 明文轉碼加密：BASE64, 7BIT等，這種方式只是個障眼法，不是真正的加密。它是一種可逆的加密。
2. 對稱算法加密：DES, AES等，如果密鑰洩露，加密就會失效了。
3. 簽名算法加密：也可以理解為單向哈希加密，比如MD5, SHA1等。加密算法固定，容易被暴力破解。如果密碼相同，得到的哈希值是一樣的。

如果你只是簡單的使用md5將用戶的密碼進行加密，那麼如果你的庫被別人拖了，現在有很多可以直接反查的網絡工具就可以進行暴力破解，那麼能不能有一種方法，用戶的明文密碼即使多次使用，但是數據庫中記錄的加密密碼也是不同的，這樣即使數據庫被拖了，那麼也很難暴力破解，真的有這種方法嗎？

答案是肯定的，有一種加密方式叫加鹽哈希加密，加密時混入一段“隨機”字符串（鹽值）再進行哈希加密。即使密碼相同，如果鹽值不同，那麼哈希值也是不一樣的。現在網站開發中主要是運用這種加密方法

werkzeug介紹

Werkzeug是一個WSGI工具包，他可以作為一個Web框架的底層庫。但是 werkzeug 不是一個 web 服務器，也不是一個 web 框架，而是一個工具包，因為它封裝好了很多 Web 框架的東西，例如 Request，Response 等等，大名鼎鼎的Flask就是基於werkzeug開發的。

安裝 werkzeug

pip install Werkzeug

密碼生成函數 generate_password_hash

可以看到，密碼是123，但是使用該函數每次計算出來的值都是不一樣的

'pbkdf2:sha256:50000$fESwY4Cl$38fdf741069ef37c207211b9bee69514582dc366660563d75c00e7cbfd7cbd8a'

'pbkdf2:sha256:50000$hUhR8Gr3$73d44814d5cd490c04e0559141fb327c31766a0314d82ee05e33c33e1559af78'

這樣即使你的數據庫被黑客拖了，通過暴力破解也是非常困難的。

generate_password_hash 函數定義為

generate_password_hash(password, method='pbkdf2:sha256', salt_length=8)

參數 「password」 為明文密碼，「method」 哈希的方式,格式為 pbpdf2:<method> 主要有sha1,sha256,md5

salt_length 鹽值的長度，默認為8

>>> generate_password_hash('123',method='pbkdf2:sha1',salt_length=10)

'pbkdf2:sha1:50000$4GUBRzzizn$45b0f6b84a4ca4352b45feea8283fc48186f9ee8'

>>> generate_password_hash('123',method='pbkdf2:sha1',salt_length=8)

'pbkdf2:sha1:50000$4kHPpS9R$1f87c09c052342fd0d65b75aa70ababb1c17e7df'

>>> generate_password_hash('123',method='pbkdf2:md5',salt_length=8)

'pbkdf2:md5:50000$zppMHqux$01acb41e0b2858bbc849abf77692a9c0'

>>> generate_password_hash('123',method='pbkdf2:md5',salt_length=8)

'pbkdf2:md5:50000$rMaQutjR$1cc67c05e063cec0c8e5f8e048ddb5e1'

密碼驗證函數：check_password_hash

有生成函數就得有相應的解密函數，check_password_hash的定義為

check_password_hash(pwhash, password)

pwhash 為密文

password 為明文

相同則返回True，不同返回 False

>>> check_password_hash('pbkdf2:sha256:50000$ntpFkKsc$bd062cd0b35c5b26c91242fc72eb0e889cf71b9dd4c1ae291587a7a3e84db293','123')

True

>>> check_password_hash('pbkdf2:sha256:50000$ntpFkKsc$bd062cd0b35c5b26c91242fc72eb0e889cf71b9dd4c1ae291587a7a3e84db293','1234')

False

結語

這個加鹽哈希加密以後的密文，放到另外一臺服務器上也是可以校驗通過的，如果做網站數據庫遷移也不用重新生成數據，使用這套加密算法可以很大程度上規避暴力破解密碼，還是那名老話，密碼是123456的就算使用再牛逼的加密你依然是不安全的，另外撞庫也是不可避免的，所以作為用戶可以嘗試不同的網站使用不同的密碼來規避撞庫問題。

感謝評論區裡幫忙指正，RSA是非對稱加密，DES和AES是對稱加密，並且md5不算是加密算法，只能說它可以起到加密明文的效果。

由於今日頭條上發的文章對於代碼排版不太方便，所以我將代碼片段都使用了截圖的方式，想要複製代碼請點擊 "瞭解更多"來查看原文或者微信搜索公眾號"序語程言"