如何将字典存储在可以加密的文件中?

How can I store a dictionary in a file which I can encrypt?

我对 Python 和一般编程还很陌生,目前正在开发一个小密码管理器。到目前为止,我有一个脚本可以使用加密库对 txt 文件进行编码。我现在想知道是否可以在 txt 文件中使用相应的密码在网站或帐户上存储信息,或者我是否需要使用 txt 文件以外的其他东西。你会推荐什么?

最简单的方法是将该字典转换为 json 并加密字符串结果。 转换成 dict 也很容易。如果您仅将其用于身份验证,我建议您做的是像键值存储一样保存。示例:

{
    "<user>": "<password>",
    "<user2>" : "<password2>"
}

在此数据结构上,代码将始终为 O(1)。

是的,您可以使用文本文件。那不是问题。文本文件将包含加密文本

根据安全程度和唯一密码的数量,您可能需要 salted 加密技术。

我会推荐 passlib

我将以我最近做的一些代码为例,并对其进行解释(虽然我不是密码学专家):

from passlib.context import CryptContext

CRYPTO_CTX = CryptContext(schemes=["bcrypt"], deprecated="auto") # This means only use `'bcrypt'`.

@app.post("/login")
def login_user(user, db):
    db_user = crud.get_user_by_username(db, username=user.username)
    if db_user is None:
        raise HTTPException(
            status_code=400, detail=f"No username {user.username} found."
        )
    if not CRYPTO_CTX.verify(user.password, db_user.hashed_password): ## This is the essential portion
        raise HTTPException(status_code=400, detail=f"Incorrect password.")
    db_user = crud.update_user(db, db_user, {"last_visit": datetime.now(timezone.utc)})
    return {"user": db_user}

正如我所说,此代码用于网站,并且使用 FastAPI。为了清楚起见,我删除了一些内容,同时希望保留足够的上下文。这是细分:

  1. 您需要创建一个“加密上下文”,它将知道要使用哪种哈希方案。
    • 就我而言,我只使用并允许 'bcrypt',这是 2020 年的最佳实践选择(但您可以选择其他选择以获得灵活性)。
  2. 然后我创建一个 '/login' 网络路由,这是一个触发函数的 URI 端点。
  3. 该函数从最终用户提交的 HTTP POST(和数据库会话)接收 user 信息。
  4. 然后在数据库后端搜索用户。假设找到她,将 POST 中的 submitted 密码与数据库中的密码进行比较,但该密码受密码保护。

让我们放大比较:

    if not CRYPTO_CTX.verify(user.password, db_user.hashed_password):

我们提供了一个 纯文本字符串 (user.password) 和一个 散列字符串 (db_user.hashed_password)到我们的 CRYPTO_CTXs verify 方法。这就是所有需要的,因为 passlib 库正在完成所有繁重的工作。


密码是如何加密的?这同样简单:

hashed_password = CRYPTO_CTX.hash(user.password)

这不仅加密了密码,还 salts 它。简而言之,这意味着如果 以某种方式 加密被破解, 它只会对那个条目有效 。使用加盐,这是一个 two-step 加密过程:

  • 创建密码。例如,'Elderberries'
  1. 加盐:'Elderberries34(*&#arst@#!'
  2. 哈希整个事情:'B4B6603ABC670967E99C7E7F1389E40CD16E78AD38EB1468EC2AA1E62B8BED3A'