Я пытался понять хеширование и изучал пароль ha sh и session_auth_ha sh
Ниже приведен код из Django, который показывает, что hma c используется при вычислении session_auth_ha sh
ОТ: django / contrib / auth / init .py
def login(request, user, backend=None):
session_auth_hash = user.get_session_auth_hash()
....
request.session[HASH_SESSION_KEY] = session_auth_hash
...
и
ОТ: django / contrib / auth / base_user.py
def get_session_auth_hash(self):
"""
Return an HMAC of the password field.
"""
key_salt = "django.contrib.auth.models.AbstractBaseUser.get_session_auth_hash"
return salted_hmac(key_salt, self.password).hexdigest()
ОТ: django / utils / crypto.py
def salted_hmac(key_salt, value, secret=None):
"""
Return the HMAC-SHA1 of 'value', using a key generated from key_salt and a
secret (which defaults to settings.SECRET_KEY).
A different key_salt should be passed in for every application of HMAC.
"""
if secret is None:
secret = settings.SECRET_KEY
key_salt = force_bytes(key_salt)
secret = force_bytes(secret)
# We need to generate a derived key from our base key. We can do this by
# passing the key_salt and our base key through a pseudo-random function and
# SHA1 works nicely.
key = hashlib.sha1(key_salt + secret).digest()
# If len(key_salt + secret) > sha_constructor().block_size, the above
# line is redundant and could be replaced by key = key_salt + secret, since
# the hmac module does the same thing for keys longer than the block size.
# However, we need to ensure that we *always* do this.
return hmac.new(key, msg=force_bytes(value), digestmod=hashlib.sha1)
То же самое можно сделать, используя
hashlib.pbkdf2_hmac(sha256, password, salt, iterations, dklen)
Почему они используют pbkdf2_hma c для пароля и hma c для хранения HASH_SESSION_KEY. Ключ salted_key, используемый для hma c, также можно использовать в pbkdf2_hma c
Я вижу, что оба выполняют одно и то же хэширование значения