密碼加密：md5/sha1 +鹽值

Python的hashlib提供了常見的摘要算法，如MD5，SHA1等等。

什么是摘要算法呢？摘要算法又稱哈希算法、散列算法。

Hash，一般翻譯做"散列"，也有直接音譯為"哈希"的，就是把任意長度的輸入，變換成固定長度的輸出，該輸出就是散列值。這種轉換是一種壓縮映射，也就是，散列值的空間通常遠小於輸入的空間，不同的輸入可能會散列成相同的輸出，而不可能從散列值來唯一的確定輸入值。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。

MD5與SHA1都是Hash算法，MD5輸出是128字節的，SHA1輸出是160字節的，MD5比SHA1快，SHA1比MD5強度高。

 

根據上述常見的加密算法，測試人員在測試不同的加密接口可采用下述的方法處理加密接口

摘要算法（MD5.SHA1 ）：造接口數據前調用MD5，SHA1進行編碼，服務端對比編碼后的字符串是否一致

對稱加密算法（AES,DES ）：造接口數據前從開發獲取對稱公鑰，基於對稱公鑰可以加密請求數據，解密響應報文

非對稱加密算法（RSA）：造接口數據前從開發獲取公鑰私鑰去加密解密接口數據

用戶認證：一般的接口測試工具都會提供一個User Auth/Authorization的選項

 

密碼不加密的話，打開開發者模式（f12）就可以輕易看到密碼。

登錄網站的用戶名密碼數據庫是不會以明文密碼進行存儲的，如果以明文保存用戶口令，如果數據庫泄露，所有用戶的口令就落入黑客的手里。此外，網站運維人員是可以訪問數據庫的，也就是能獲取到所有用戶的口令。

正確的保存口令的方式是不存儲用戶的明文口令，而是存儲用戶口令的摘要當用戶登錄時，首先計算用戶輸入的明文口令的MD5，然后和數據庫存儲的MD5對比，如果一致，說明口令輸入正確，如果不一致，口令肯定錯誤。

采用MD5存儲口令是否就一定安全呢？也不一定。假設你是一個黑客，已經拿到了存儲MD5口令的數據庫，如何通過MD5反推用戶的明文口令呢？暴力破解費事費力，真正的黑客不會這么干。考慮這么個情況，很多用戶喜歡用123456，888888，password這些簡單的口令，於是，黑客可以事先計算出這些常用口令的MD5值，得到一個反推表：

'e10adc3949ba59abbe56e057f20f883e': '123456' '21218cca77804d2ba1922c33e0151105': '888888' '5f4dcc3b5aa765d61d8327deb882cf99': 'password' 

這樣，無需破解，只需要對比數據庫的MD5，黑客就獲得了使用常用口令的用戶賬號。

對於用戶來講，當然不要使用過於簡單的口令。但是，我們能否在程序設計上對簡單口令加強保護呢？

由於常用口令的MD5值很容易被計算出來，所以，要確保存儲的用戶口令不是那些已經被計算出來的常用口令的MD5，這一方法通過對原始口令加一個復雜字符串來實現，俗稱“加鹽”：

經過Salt處理的MD5口令，只要Salt不被黑客知道，即使用戶輸入簡單口令，也很難通過MD5反推明文口令。

但是如果有兩個用戶都使用了相同的簡單口令比如123456，在數據庫中，將存儲兩條相同的MD5值，這說明這兩個用戶的口令是一樣的。有沒有辦法讓使用相同口令的用戶存儲不同的MD5呢？如果假定用戶無法修改登錄名，就可以通過把登錄名作為Salt的一部分來計算MD5，從而實現相同口令的用戶也存儲不同的MD5。

 

import hashlib #導入hashlib模塊

md5 = hashlib.md5() #獲取一個md5加密算法對象
md5.update('111111aa'.encode('utf-8')) #制定需要加密的字符串
print(md5.hexdigest()) #獲取加密后的16進制字符串 

得到如下：e5ccc8270cd29ba187ddde8f864438ee

需要注意的是，字符串后面要加個.encode(‘utf-8’)，因為hashlib是對二進制進行加密的，如果直接對字符串加密的話， 會報錯的。因此需要通過encode將字符串轉碼成二進制格式。

 

（補充：

 

print(md5.hexdigest())     十六進制，輸出的是字母跟數字組合，用戶看的懂，所以會轉換成十六進制的顯示密碼
print(md5.digest())      二進制

e5ccc8270cd29ba187ddde8f864438ee
b"\xe5\xcc\xc8'\x0c\xd2\x9b\xa1\x87\xdd\xde\x8f\x86D8\xee"

 

encode是編碼

decode是解碼）

 

 

sha1同理：

sha1 = hashlib.sha1()
# sign_str = "111111"
# sign_bytes_utf8 = sign_str.encode()
# sha1.update(sign_bytes_utf8)
# sign_sha1 = sha1.hexdigest()
# print(sign_sha1)

接口處理的時候，先把用例里面的明文密碼進行加密處理（md5+鹽（登陸名+固定字符）/sha1+鹽（登陸名+固定字符））,得出密文，再拿這個密文跟數據庫里的進行比對，是否一致。
所以做之前要先問下開發數據庫里的密碼是怎么加密的，來選擇相應的方法設計自動化