Python 3.6版本引入了一个名为secrets的新模块,用于生成强大而安全的随机数。在本文中,我们将学习如何使用secrets模块来保护你的小秘密。
在以往版本的Python中,random模块提供的随机生成器是伪随机数生成器,它不具有加密安全性,因此在Python 3.6及更高版本中添加了secrets模块。
加密安全随机生成器使用同步方法生成随机数据,以确保没有两个进程可以同时获得相同的数据。
在Python 3.6之前,我们使用os.urandom()和random.SystemRandom类来加密安全随机生成器。
secrets模块是一种CSPRNG,即强加密伪随机数生成器,它用于生成在较注重安全性的应用程序中安全且有用的随机数。
您可以使用secrets模块来执行以下常见的安全相关功能:
接下来,让我们来看看如何具体使用secrets模块。
一、secrets.SystemRandom类
- 使用操作系统提供的最高质量源生成随机数的类。
- 使用secrets.SystemRandom类可以实现random模块的所有功能。
- 在secrets模块出现之前,我们通常使用random.SystemRandom来加密保护随机数据。现在使用secrets模块也可以访问同一个类,只需执行secrets.SystemRandom()。
下面的代码展示了如何使用secrets.SystemRandom类来生成安全随机数:
进群:548377875 即可获取数十套PDF!从零到实战的那种以及大量的学习资料哦!~
输出结果:
二、Python secrets模块中的常用函数
1. secrets.randbelow(n)
例如,secrets.randbelow(10)将生成一个从0到10范围内的随机整数。
输出结果:
2. secrets.choice(sequence)
例如:
输出结果:
3. secrets.randbits(k)
k = 4表示从0到15的无符号整数。
k = 8表示从0到255的无符号整数。
k = 16表示从0到65,535的无符号整数。
我们来看看这个例子:
输出结果:
三、使用secrets模块生成安全口令
secrets模块提供用于生成安全口令的函数,这对于应用程序生成重置密码口令和难以猜测的URL是非常有用的。
1. secrets.token_bytes([nbytes=None])
返回包含字节数的安全随机字节字符串。如果未提供nbytes,则使用合理的默认值。
2. secrets.token_hex([nbytes=None])
以十六进制格式返回安全的随机文本字符串。该字符串具有nbytes随机字节,每个字节转换为两个十六进制数字。如果未提供nbytes,则使用合理的默认值。
3. secrets.token_urlsafe([nbytes=None])
返回一个安全的随机URL安全文本字符串,包含nbytes随机字节。使用此方法可生成安全且难以猜测的URL。
让我们来看下面的这个例子:
输出结果:
口令应该使用多少字节?
为了抵御暴力攻击和定时攻击,口令需要具有足够的随机性。 根据专家的说法,32字节(256位)的随机性足以抵御暴力攻击。您应该根据您的要求选择字节大小。
我们还可以使用secrets.compare_digest(a,b)减少计时攻击。为了降低计时攻击的风险,秘密模块具有compare_digest(a,b)功能。如果字符串a和b相等,则此函数返回True,否则返回False以降低计时攻击的风险。
四、Secrets使用实例
在实例中,我们生成临时密码并在临时难以猜测的URL上发送此密码,以便客户可以使用此URL重置其密码。
例:
输出结果: