bcrypt是 Python 中用于安全存储密码的哈希库，基于 Blowfish 算法，具备加盐（Salt）和可调工作因子（Work Factor）特性，能有效抵御彩虹表和暴力破解攻击。注意：它是单向哈希，不可解密。

Python 的bcrypt库是专门用于密码哈希的，它的核心用法就是生成哈希和验证密码，用起来并不复杂。下面我把它的主要用法和注意事项整理了一下。

📦 安装与准备

首先，用 pip 安装 bcrypt 库：

pipinstallbcrypt

使用时，需要注意密码和盐值都需要是字节（bytes）类型，不是普通的字符串。通常用.encode('utf-8')转换。

🔐 密码哈希生成

1. 生成盐值
盐值是一串随机字符，用来和密码混合，防止彩虹表攻击。使用gensalt()函数生成，可以指定rounds参数来控制计算强度（默认12，推荐12-14）。

importbcrypt# 生成一个默认强度的盐值 (rounds=12)salt=bcrypt.gensalt()# 生成一个强度更高 (rounds=14) 的盐值salt_high_cost=bcrypt.gensalt(rounds=14)

2. 生成哈希
使用hashpw()函数，将密码和盐值作为参数传入，得到一个完整的、包含盐值的哈希值。

password=b"my_secret_password"salt=bcrypt.gensalt()# 生成哈希值，可以安全地存入数据库hashed_password=bcrypt.hashpw(password,salt)print(hashed_password)# 输出类似: b'$2b$12$lQ.....'

注意：生成的哈希值里已经包含了盐值和版本等信息，不需要单独存储盐值。

✅ 密码验证

验证时，使用checkpw()函数，传入用户输入的明文密码和之前存储的哈希值。它会自动从哈希值中提取盐值，重新计算并比对。

# 模拟从数据库读取的哈希值stored_hash=b'$2b$12$lQ.....'# 用户登录时输入的密码user_input_password=b"my_secret_password"# 验证，返回 True 或 Falseis_correct=bcrypt.checkpw(user_input_password,stored_hash)ifis_correct:print("密码正确")else:print("密码错误")

⚙️ 进阶用法与注意事项

• 调整工作因子 (rounds)：rounds参数控制哈希计算迭代次数（2^rounds次），值越大越安全，但计算耗时也越长。你需要根据服务器性能来平衡。

  # 示例：使用 rounds=14salt=bcrypt.gensalt(rounds=14)

• 密码长度限制：bcrypt 内部只处理密码的前72 个字节，超出的部分会被忽略。为了安全，最好在业务层对密码长度做出限制，例如在前端和后端都限制在 72 个字符以内，并给出清晰提示。

• 密钥派生 (kdf)：除了常规的密码哈希，bcrypt 还提供了一个kdf()函数，可以从密码生成固定长度的加密密钥，用于其他加密场景。使用场景比较特定。

  用于生成加密密钥（非密码哈希），需指定固定盐值。

key=bcrypt.kdf(password=b"secret",salt=b"fixed_salt_16bytes!",desired_key_bytes=32,rounds=100)

• 版本前缀：推荐使用2b前缀（gensalt(prefix=b"2b")），避免旧版2a潜在漏洞。