### seacrets

`seacrets`は、セキュリティ目的で使用する乱数生成やトークン生成などで使用する Python の標準ライブラリ。

- random モジュールよりもセキュア(=暗号学的で安全)
- 主な使用用途

  - パスワードリセットや API キーや一時的な URL や短縮 URL のためのキー生成
  - ワンタイム パスワードや一時的なパスワードの生成
  - ランダムなトークン生成

- 注意

  - 復元できる形式でパスワードの保存は NG

### 資料

[secrets --- 機密を扱うために安全な乱数を生成する](https://docs.python.org/ja/3/library/secrets.html#module-secrets)

In [3]:
import string

import secrets
from urllib import parse

In [4]:
# 特定のシーケンスからランダムに要素を選択
alpha_num: str = string.ascii_letters + string.digits
print(alpha_num)
# abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789

password: str = "".join(secrets.choice(alpha_num) for i in range(8))
print(f"password: {password}, len:{len(password)}")
# random 8 length password


# トークンの生成
# 一時的なパスワードリセット用のトークン、推測しづらいURLの生成で使用
# nbytesを含むbyte文字列を返す、指定がない場合デフォルトサイズを使用する(default=32)
print(secrets.token_bytes())

# 16進数のランダムなテキストを返す、指定がない場合デフォルトサイズを使用する(default=64)
print(secrets.token_hex())

# ランダムなbyteを持つURLテキストを返す、指定がない場合デフォルトサイズを使用する(default=43)
print(secrets.token_urlsafe())

# トークン検証(「タイミング攻撃」のリスクを低減した定数時間比較で行われる)
# 「タイミング攻撃」= 処理にかかる時間差を分析し情報を盗み取る攻撃(比較の時間を同一時間で終わるようにする必要がある)
reset_token: str = secrets.token_urlsafe()
url: str = "https://snippets_secrets.com/?reset=" + reset_token
print(url)

url_parse = parse.urlparse(url)
url_query = parse.parse_qs(url_parse.query)
print(url_query)
print(secrets.compare_digest(reset_token, url_query["reset"][0]))


abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
password: 9Z6Lx0dE, len:8
b"b'\x83\xb8b\xf6\x8aq\xce\x94A\xdb\x9ew\xfe\xfa\x1a\x0e\xf3\xc00d\x1dB_U\xdb9\x8aH\xda\xbc"
a23ba57c2df2a038feff795274370263039871d1702c86e30d3a11d73471ddfc
KGp-7lrKn4fZPVeStH1LDLzouyGl3CVfeAxXfxUA6uo
https://snippets_secrets.com/?reset=tLhKGQe_JFAqZurDFEJzlW7UkE15izeBG6e8nkzrEWI
{'reset': ['tLhKGQe_JFAqZurDFEJzlW7UkE15izeBG6e8nkzrEWI']}
True
