编辑“︁Django密码存储”︁

= Django密码存储 =

== 介绍 ==  
'''Django密码存储'''是Django框架中处理用户密码安全的核心机制。Django默认使用[[PBKDF2]]（Password-Based Key Derivation Function 2）算法对密码进行哈希处理，并附加随机生成的“盐”（salt）值，以防止[[彩虹表攻击]]。这种设计确保了即使数据库泄露，攻击者也难以直接获取用户的明文密码。  

Django的密码存储系统是高度可配置的，开发者可以根据需求选择不同的哈希算法（如[[Argon2]]、[[bcrypt]]等），或调整哈希迭代次数以平衡安全性与性能。

== 密码存储机制 ==  
Django的密码存储流程如下：  
1. **生成盐值**：每次保存密码时，Django会生成一个随机盐值。  
2. **哈希计算**：将密码与盐值结合，通过指定的哈希算法（如PBKDF2）进行多次迭代计算。  
3. **存储格式**：最终存储的字符串包含算法名称、迭代次数、盐值和哈希结果，格式为：  
   `<algorithm>$<iterations>$<salt>$<hash>`

=== 示例存储格式 ===  
<syntaxhighlight lang="text">  
pbkdf2_sha256$260000$HlqxvWb6BzF0$9V8LzW4z1UJZ5X2Y3W6X1O0K7L2M1N2B3V4C5X6Z7Y8=  
</syntaxhighlight>  
* `pbkdf2_sha256`：使用的算法。  
* `260000`：迭代次数。  
* `HlqxvWb6BzF0`：盐值。  
* 剩余部分为最终的哈希值。

== 代码示例 ==  
=== 密码创建与验证 ===  
Django提供了便捷的API来处理密码哈希和验证：  

<syntaxhighlight lang="python">  
from django.contrib.auth.hashers import make_password, check_password  

# 创建哈希密码  
raw_password = "mysecurepassword123"  
hashed_password = make_password(raw_password)  
print(hashed_password)  # 输出类似：pbkdf2_sha256$260000$...  

# 验证密码  
is_valid = check_password(raw_password, hashed_password)  # 返回True或False  
</syntaxhighlight>

=== 自定义哈希参数 ===  
开发者可以在`settings.py`中调整哈希算法的参数：  
<syntaxhighlight lang="python">  
# settings.py  
PASSWORD_HASHERS = [  
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',  
    'django.contrib.auth.hashers.Argon2PasswordHasher',  # 更安全的选项  
]  

# 增加PBKDF2的迭代次数  
PBKDF2_ITERATIONS = 300000  # 默认值为260000  
</syntaxhighlight>

== 安全最佳实践 ==  
1. **使用强哈希算法**：优先选择`Argon2`或`bcrypt`（需安装第三方库如`django[argon2]`）。  
2. **避免明文存储**：即使使用简单密码，也必须哈希处理。  
3. **定期更新迭代次数**：随着硬件性能提升，增加迭代次数以保持安全性。  

=== 迁移到更强算法 ===  
若需从PBKDF2迁移到Argon2，按以下步骤操作：  
1. 安装Argon2：`pip install django[argon2]`  
2. 修改`settings.py`：  
<syntaxhighlight lang="python">  
PASSWORD_HASHERS = [  
    'django.contrib.auth.hashers.Argon2PasswordHasher',  
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',  # 后备选项  
]  
</syntaxhighlight>  
3. 用户下次登录时，Django会自动将其密码升级为新的哈希格式。

== 实际案例 ==  
=== 场景：数据库泄露应对 ===  
假设某网站的数据库被泄露，但密码均以Django默认方式存储：  
* 攻击者获取的哈希值无法直接逆向为明文密码。  
* 即使两个用户密码相同，因盐值不同，哈希结果也不同，阻止批量破解。  

=== 攻击缓解图示 ===  
<mermaid>  
graph LR  
    A[明文密码"123456"] -->|加盐哈希| B(存储格式1: algo$salt$hash1)  
    A -->|不同盐值哈希| C(存储格式2: algo$salt$hash2)  
    D[彩虹表攻击] -->|无法批量匹配| B  
    D -->|无法批量匹配| C  
</mermaid>

== 数学原理 ==  
Django的PBKDF2算法基于以下公式计算哈希：  
<math>  
\text{hash} = \text{PBKDF2}(\text{password}, \text{salt}, \text{iterations}, \text{dklen})  
</math>  
其中：  
* `dklen`为派生密钥长度。  
* 迭代次数`iterations`增加会显著提高破解难度。

== 总结 ==  
Django的密码存储机制通过哈希算法、盐值和可配置参数，为开发者提供了强大的安全基础。理解并正确配置这些功能，是保护用户数据的关键步骤。

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django安全]]