# hmac

- 为了防止黑客通过彩虹表根据哈希值反推原始口令，在计算哈希的时候，不能仅针对原始输入计算，需要增加一个salt来使得相同的输入也能得到不同的哈希，这样，大大增加了黑客破解的难度。

- 如果salt是我们自己随机生成的，通常我们计算MD5采用md5(message + salt)，但实际上，把salt看成是一个’口令‘，加salt的哈希就是：计算一段message的哈希时，根据不同的口令计算出不同的哈希。要验证哈希值，必须提供正确的口令。

## Hmac算法

- Keyed-Hashing for Message Authentication, 通过一个标准算法，在计算哈希的过程中，把key混入计算的过程中。
- 和我们自定义的加Salt算法不同，Hmac算法针对所有哈希算法都通用，无论是MD5还是SHA-1，采用Hmac替代我们自己的salt算法，可以使程序算法更标准化，也更安全。

In [1]:
import hmac

message = b'Hello, world!'
key = b'secret' # 随机出来的序列，相当于hashlib中的随机数序列
h = hmac.new(key, message, digestmod='MD5')
# 如果消息很长，可以多次调用h.update(msg)
h.hexdigest()

'fa4ee7d173f2d97ee79022d1a7355bcf'

## 修改上一节的代码为标准的hmac算法

In [2]:
import hmac, random


db = {}

def hmac_md5(key, s):
    return hmac.new(key.encode('utf-8'), s.encode('utf-8'), 'MD5').hexdigest()

class User:
    def __init__(self, username, password):
        self.username = username
        self.key = ''.join([chr(random.randint(48, 122)) for i in range(20)])
        self.password = hmac_md5(self.key, password)

def register(username, password):
    db[username] = User(username, password)
    
def login(username, password):
    user = db[username]
    return user.password == hmac_md5(user.key, password)


In [3]:
register('dongdong', '123456')

In [4]:
login('dongdong', '123456')

True

In [5]:
register('xiaoxiao', '123456')

In [6]:
db['dongdong'].password

'f5f89099b8d2cbac021ddbb41e82864a'

In [7]:
db['xiaoxiao'].password

'0d0a2ac8548bcdbcc8e84a3fd836ad0f'