Python和JS开发者保护使用者敏感信息的策略浅谈

本文主要是介绍Python和JS开发者保护使用者敏感信息的策略浅谈，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

Python和JS开发者保护使用者敏感信息的策略浅谈

概述

Python和JS这类语言，开发的程序，不能编译发布，对如敏感信息，如销售系统，开发登录程序，登录密码是非常重要的，从这类语言的特点和程序设计角度，如何保护登录密码值得考虑。不要在代码中硬编码密码，应该使用加密算法对密码进行加密。

保护敏感信息是一个多方面的任务，需要结合使用多种技术和策略。本文是我的学习和认识总结记录，不当之处请读者朋友不吝指点，我将不断更新。

以下是基本的安全措施。

1. 使用环境变量

将敏感信息存储在环境变量中，而不是直接硬编码在源代码里。这样，即使源代码被泄露，敏感信息也不会直接暴露出来。在程序运行时，可以从环境变量中读取这些信息。

2. 使用外部配置文件

将敏感信息存储在外部配置文件中，并确保这些配置文件不会被包含在版本控制系统（如Git）中。可以通过.gitignore文件排除这些配置文件。在程序中读取这些外部配置文件来获取敏感信息。

3.使用哈希和加密

对于密码验证，不应该在代码中直接对比明文密码。相反，应该使用哈希函数处理密码。在用户注册时，将用户密码的哈希值存储在数据库中。在用户登录时，将输入的密码进行同样的哈希处理，然后对比数据库中存储的哈希值。这样，即使数据库被泄露，攻击者也无法直接获得原始密码。

4. 保护源码
对于使用Python、JavaScript这类解释型语言开发的程序，因为不能编译发布，很容易找到登录密码对比语句，可以采取保护源码。有几种方法可以提高代码的保护水平，减少安全风险：

(1)代码编译/打包

对于JavaScript，可以使用Webpack、Rollup或Parcel等工具将代码打包。这些工具通常结合了代码压缩和混淆的功能，可以将多个文件合并成一个文件，同时使代码更难以直接阅读。

对于Python，虽然不能像编译型语言那样编译成机器码，但可以使用工具如PyInstaller或cx_Freeze将Python程序打包成可执行文件（exe），这样可以隐藏源代码。

(2)代码混淆（Obfuscation）

对于JavaScript，可以使用工具如UglifyJS或Terser进行混淆。

对于Python，如pyarmor、pyminifier，可以混淆Python源码，使其难以被直接阅读。

(3)使用C/C++等编译型语言编写关键逻辑

将程序中对安全性要求较高的部分，如密码验证逻辑，用C或C++等编译型语言编写，并编译成库文件（如.dll、.so或.dylib文件），然后从Python或JavaScript中调用这些库。这样可以保护这些核心逻辑不被轻易查看或修改。

需要明确的是，这只是其中的一部分。通过采取一系列措施，可以有效地保护这些敏感信息。需要强调的是，以上的方法并不能100%保证安全，但可以大大提高攻击者攻击的难度，增强系统的安全性。

以Python用户登录系统为例介绍

一、如何加密密码。

一个具备图形用户界面(GUI)的Python用户登录系统，密码保存在文件中。建一个名为passwords.txt的文件，格式如下，每行包含一个用户名和密码，以逗号和空格分隔，例如：

user1, password1

abc, abc123

在实际应用中，直接以明文形式存储密码是非常不安全的。我们Python 的标准库之一hashlib 【详见https://docs.python.org/zh-cn/3/library/hashlib.html 】加密，加密后的文件为hashed_passwords.txt文件中，为了使生成的hashed_passwords.txt文件对开发者而言是唯一的，我们可以引入一个额外的参数作为“盐”（salt），并将其与密码一起哈希处理。这种“盐”值可以是任何数据，但为了保证唯一性，通常使用随机生成的数据或者某些与用户账户直接相关的唯一数据（如用户ID、用户名的哈希值等）。

【"盐值"（Salt）在密码学中是一个添加到哈希算法的一部分，用以确保相同的输入在哈希后会产生不同的结果。这样即使两个用户拥有相同的密码，他们的哈希值也会是不同的。】

下面是将passwords.txt的文件加密hashed_passwords.txt文件的python代码：

import hashlib
import osdef hash_password(password_salt):"""生成密码的SHA-256哈希值，结合盐值"""sha_signature = hashlib.sha256(password_salt.encode()).hexdigest()return sha_signature# 假设有两个用户的密码需要存储，这里使用用户名作为盐值的一种简单示例
passwords_to_hash = {"user1": "password1","abc": "abc123",
}# 生成哈希值并存储
with open("hashed_passwords.txt", "w") as file:for username, password in passwords_to_hash.items():# 在这个例子中，盐(salt)值，是一种简化的做法salt = "abc123"  # 这里仅作为示例，不推荐在生产环境中这样做password_salt = password + salthashed_password = hash_password(password_salt)file.write(f"{username}, {hashed_password}\n")print("完成！")

这个示例仅用来展示了如何增加哈希的唯一性。【对于生产环境下强烈建议使用专门的密码哈希库，如bcrypt，它会自动处理盐值和其他安全措施。】

打开加密后的文件如下：

用户需要记住和使用的是加密前的密码，也就是明文密码，而非加密后的值或哈希值。

下面是使用tkinter库来创建GUI登录文件，来使用加密密码。源码如下：

import tkinter as tk
import hashlib
from tkinter import messagebox# 创建主窗口
root = tk.Tk()
root.title("用户登录")
root.geometry("300x150")# 添加用户名和密码标签和输入框
tk.Label(root, text="用户名:").place(x=20, y=20)
tk.Label(root, text="密码:").place(x=20, y=50)username_entry = tk.Entry(root)
username_entry.place(x=100, y=20)password_entry = tk.Entry(root, show="*")
password_entry.place(x=100, y=50)# 用于显示登录失败信息的标签，初始时不显示任何文本
login_fail_label = tk.Label(root, text="", fg="red")
login_fail_label.place(x=20, y=110)# 处理登录逻辑
def login():username = username_entry.get()password = password_entry.get()    hashed_password = hash_password(password)  # 对输入的密码生成哈希值try:with open("hashed_passwords.txt", "r") as file:for line in file:stored_username, stored_hashed_password = line.strip().split(", ")if username == stored_username and hashed_password == stored_hashed_password:login_success_window()root.withdraw()  # 隐藏登录窗口returnlogin_fail_label.config(text="登录失败！用户名或密码错误。")except FileNotFoundError:login_fail_label.config(text="密码文件不存在！")def hash_password(password):"""生成密码的SHA-256哈希值，结合盐值"""password_salt = password + "abc123"sha_signature = hashlib.sha256(password_salt.encode()).hexdigest()return sha_signature# 新窗口函数
def login_success_window():new_window = tk.Toplevel(root)new_window.title("主窗口")new_window.geometry("400x300")tk.Label(new_window, text="欢迎你的到来！！").pack()# 处理取消按钮的点击事件
def cancel():root.destroy()# 添加登录和取消按钮
login_button = tk.Button(root, text="登录", command=login)
login_button.place(x=100, y=80)cancel_button = tk.Button(root, text="取消", command=cancel)
cancel_button.place(x=170, y=80)# 运行主循环
root.mainloop()

将hashed_passwords.txt文件存在这个源码文件相同的路径下，因为这个源码依赖于读写hashed_passwords.txt文件。

运行源码文件，显示如下图：

用户需要记住和使用的是加密前的密码，也就是明文密码，你可以登录试试啦。

修改A

添加完善功能，在新窗口new_window中实现修改用户密码功能，修改密码时需要两次输入新密码来确认，源码如下：

import tkinter as tk
import hashlib
from tkinter import messagebox# 创建主窗口
root = tk.Tk()
root.title("用户登录")
root.geometry("300x150")# 添加用户名和密码标签和输入框
tk.Label(root, text="用户名:").place(x=20, y=20)
tk.Label(root, text="密码:").place(x=20, y=50)username_entry = tk.Entry(root)
username_entry.place(x=100, y=20)password_entry = tk.Entry(root, show="*")
password_entry.place(x=100, y=50)# 用于显示登录失败信息的标签，初始时不显示任何文本
login_fail_label = tk.Label(root, text="", fg="red")
login_fail_label.place(x=20, y=110)# 处理登录逻辑
def login():username = username_entry.get()password = hash_password(password_entry.get())  # 加密用户输入的密码# print(username,password)try:with open("hashed_passwords.txt", "r") as file:  # 确保文件名正确for line in file:stored_username, stored_hashed_password = line.strip().split(", ")if username == stored_username and password == stored_hashed_password:login_success_window()root.withdraw()  # 隐藏登录窗口return# 如果循环结束还没有返回，说明登录失败login_fail_label.config(text="登录失败！用户名或密码错误。")except FileNotFoundError:login_fail_label.config(text="密码文件不存在！")# 新窗口函数
def login_success_window():new_window = tk.Toplevel(root)new_window.title("修改密码")new_window.geometry("400x300")tk.Label(new_window, text="欢迎你的到来！！").pack()# 添加修改密码的输入框和按钮tk.Label(new_window, text="新密码:").pack()new_password_entry = tk.Entry(new_window, show="*")new_password_entry.pack()# 添加第二个新密码输入框和标签tk.Label(new_window, text="确认新密码:").pack()  # 新增代码new_password_confirm_entry = tk.Entry(new_window, show="*")  # 新增代码new_password_confirm_entry.pack()  # 新增代码change_password_button = tk.Button(new_window, text="修改密码", command=lambda: change_password(new_password_entry.get(), new_password_confirm_entry.get()))  # 修改这行change_password_button.pack()def change_password(new_password, confirm_password):if new_password != confirm_password:messagebox.showerror("错误", "两次输入的密码不一致！")returnusername = username_entry.get()new_hashed_password = hash_password(new_password)# 读取原始密码文件，并替换相应用户名的密码try:with open("hashed_passwords.txt", "r") as file:lines = file.readlines()with open("hashed_passwords.txt", "w") as file:for line in lines:stored_username, stored_hashed_password = line.strip().split(", ")if stored_username == username:file.write(f"{stored_username}, {new_hashed_password}\n")else:file.write(line)messagebox.showinfo("成功", "密码修改成功！")except FileNotFoundError:messagebox.showerror("错误", "密码文件不存在！")# 哈希密码函数
def hash_password(password):"""生成密码的SHA-256哈希值，结合盐值"""password_salt = password + "abc123"sha_signature = hashlib.sha256(password_salt.encode()).hexdigest()return sha_signature# 处理取消按钮的点击事件
def cancel():root.destroy()# 添加登录和取消按钮
login_button = tk.Button(root, text="登录", command=login)
login_button.place(x=100, y=80)cancel_button = tk.Button(root, text="取消", command=cancel)
cancel_button.place(x=170, y=80)# 运行主循环
root.mainloop()

运行这个源码文件，显示如下图：

用户需要记住和使用的是加密前的密码，也就是明文密码，你可以登录并且修改密码试试啦。

修改B

将所有代码写入单个Python文件对于小型项目而言是常见且可接受的。然而，随着项目的增长，这种做法可能会导致代码难以维护。

现在，将上面的代码分割，将处理认证逻辑移动到另一个文件auth.py中，负责界面显示和用户交互的代码放到主文件login_system_main.py中。

这样的结构使得你的项目更加模块化，逻辑与界面分离，便于后期的维护和扩展。

1、login_system_main.py文件源码如下：

import tkinter as tk
from tkinter import messagebox
import auth  # 导入我们之前分割出去的认证模块# 创建主窗口
root = tk.Tk()
root.title("用户登录")
root.geometry("300x150")# 添加用户名和密码标签和输入框
tk.Label(root, text="用户名:").place(x=20, y=20)
tk.Label(root, text="密码:").place(x=20, y=50)username_entry = tk.Entry(root)
username_entry.place(x=100, y=20)password_entry = tk.Entry(root, show="*")
password_entry.place(x=100, y=50)# 用于显示登录失败信息的标签，初始时不显示任何文本
login_fail_label = tk.Label(root, text="", fg="red")
login_fail_label.place(x=20, y=110)# 新窗口函数
def login_success_window():root.withdraw()  # 隐藏登录窗口new_window = tk.Toplevel(root)new_window.title("修改密码")new_window.geometry("400x300")tk.Label(new_window, text="欢迎你的到来！！").pack()# 添加修改密码的输入框和按钮tk.Label(new_window, text="新密码:").pack()new_password_entry = tk.Entry(new_window, show="*")new_password_entry.pack()tk.Label(new_window, text="确认新密码:").pack()new_password_confirm_entry = tk.Entry(new_window, show="*")new_password_confirm_entry.pack()change_password_button = tk.Button(new_window, text="修改密码", command=lambda: auth.change_password(username_entry.get(),new_password_entry.get(),new_password_confirm_entry.get(),lambda msg: messagebox.showinfo("成功", msg),lambda err: messagebox.showerror("错误", err)))change_password_button.pack()def login():auth.login(username_entry.get(),password_entry.get(),login_success_window,lambda err: login_fail_label.config(text=err))# 添加登录和取消按钮
login_button = tk.Button(root, text="登录", command=login)
login_button.place(x=100, y=80)cancel_button = tk.Button(root, text="取消", command=root.destroy)
cancel_button.place(x=170, y=80)# 运行主循环
root.mainloop()

2、auth.py源码文件内容如下：

import hashlibdef hash_password(password):"""生成密码的SHA-256哈希值，结合盐值"""password_salt = password + "abc123"sha_signature = hashlib.sha256(password_salt.encode()).hexdigest()return sha_signaturedef login(username, password, success_callback, fail_callback):hashed_password = hash_password(password)try:with open("hashed_passwords.txt", "r") as file:for line in file:stored_username, stored_hashed_password = line.strip().split(", ")if username == stored_username and hashed_password == stored_hashed_password:success_callback()returnfail_callback("登录失败！用户名或密码错误。")except FileNotFoundError:fail_callback("密码文件不存在！")def change_password(username, new_password, confirm_password, success_callback, error_callback):if new_password != confirm_password:error_callback("两次输入的密码不一致！")returnnew_hashed_password = hash_password(new_password)try:with open("hashed_passwords.txt", "r") as file:lines = file.readlines()with open("hashed_passwords.txt", "w") as file:for line in lines:stored_username, stored_hashed_password = line.strip().split(", ")if stored_username == username:file.write(f"{stored_username}, {new_hashed_password}\n")else:file.write(line)success_callback("密码修改成功！")except FileNotFoundError:error_callback("密码文件不存在！")

从login_system_main.py文件启动，运行效果和未分开的一样。

二、Python源码保护

一）、自己编程实现源码保护

自己编写脚本对Python代码进行加密，然后在应用运行时再解密执行。

要实现Python代码的加密与运行时解密执行，你可以采用以下步骤。这个例子使用了Python的cryptography库来进行加密和解密，确保了加密过程的安全性。请注意，这种方法并不是对抗专业逆向工程的最佳方式，但它可以增加代码被轻易读取和修改的难度。

在此，使用Python自带的标准库进行简单的加密和解密，我们可以利用base64进行编码以及exec来执行解码后的代码。base64官方介绍见https://docs.python.org/zh-cn/3/library/base64.html

对于，我前面建立的登录系统含有3个文件：

将这三个文件放到同一个目录中。

auth.py

login_system_main.py

hashed_passwords.txt

其中，hashed_passwords.txt是登录密码，

auth.py认是证逻辑代码文件

login_system_main.py是用户交互的代码主文件

如何用base64进行编码、解码并发布？

第一步、使用如下加密程序如下，使用它对login_system_main.py和auth.py其进行base64编码：

# encode_script.py
import base64def encode_file_to_base64(source_file, encoded_file):""":param source_file: 源文件路径，即要加密的Python脚本文件路径。:param encoded_file: 编码后的文件路径，即加密后的数据将要保存的文件路径。"""# 读取你想加密的Python脚本with open(source_file, "rb") as file:file_data = file.read()# 编码文件内容encoded_data = base64.b64encode(file_data)# 将编码后的数据写入一个新文件with open(encoded_file, "wb") as file:file.write(encoded_data)# 使用示例
# 调用函数，加密
encode_file_to_base64("login_system_main.py", "login_system_main.enc")
encode_file_to_base64("auth.py", "auth.enc")

第二步：装载解码并执行，源码如下：

# loader.py
import base64
import types
import sys# 定义一个函数用于从base64编码的文件中解码数据
def decode_file_from_base64(encoded_file_path):# 以二进制读取模式打开文件with open(encoded_file_path, 'rb') as file:encoded_data = file.read()# 解码数据decoded_data = base64.b64decode(encoded_data)# 将解码后的二进制数据转换为字符串，并返回return decoded_data.decode()# 定义一个函数用于从代码字符串中加载模块
def load_module_from_code(module_name, code):# 创建一个新的模块对象module = types.ModuleType(module_name)# 执行代码，并将代码定义的全局变量存储到模块的命名空间exec(code, module.__dict__)# 将创建的模块添加到 sys.modules 中，这样它就可以被其他地方通过 import 语句导入sys.modules[module_name] = module# 返回模块对象return module# 主函数
def main():# 解码 auth.enc 文件，并将解码后的内容加载为 auth 模块auth_code = decode_file_from_base64('auth.enc')auth_module = load_module_from_code('auth', auth_code)# 创建一个全局命名空间，其中包含了 auth 模块# 这个字典模拟了全局命名空间，以便于 exec 函数执行代码时能够识别 auth 模块globals_for_exec = {'auth': auth_module}# 解码 login_system_main.enc 文件，并使用自定义的全局命名空间执行解码后的代码login_system_main_code = decode_file_from_base64('login_system_main.enc')exec(login_system_main_code, globals_for_exec)# 当该脚本被直接执行时，调用 main 函数
if __name__ == '__main__':main()

特别提示，由这个代码文件装载解码并执行加密的代码文件，我这里命名为loader.py。

这种方式允许你动态地执行加密存储的Python代码，增加了代码的安全性和灵活性。这种方法要求你明确知道多个.py文件之间的依赖关系，需要按正确的顺序加载它们。对于更复杂的依赖关系，有些麻烦。

这个方法为解码并执行加密的Python模块提供了一个基本的框架，但在实际应用中，根据你的具体需求和安全考虑，可能需要进一步的定制和改进。

将这如下几个复制到同一个文件，发布给用户即可

从loader.py文件启动运行。

二）、使用第三方的工具

Python代码混淆工具pyarmor，它可以混淆代码并提供一定程度的保护。

pyarmor是一个有免费和付费版本的Python代码混淆工具。对于个人用户和非商业用途，pyarmor的免费版本通常已经足够用。它对源代码提供了基本的混淆保护，可以有效防止源代码被轻易阅读和修改。

中文使用文档：https://pyarmor.readthedocs.io/zh/latest

下面是如何使用pyarmor混淆Python代码和发布运行混淆后的代码的步骤：

安装PyArmor

首先，你需要安装pyarmor。可以通过pip安装，在命令行工具（例如cmd或PowerShell）中运行以下命令：

pip install pyarmor

如果安装有多个Python版本，在命令行中运行以下命令：

安装路径\python.exe -m pip install 模块(库、包)名

其中，安装路径

【查看Python安装路径方法，在cmd中使用命令

py -0p

其中0是零。

其中带星号*者，为默认使用版本。

3.10的安装路径D:\Python\Python310】

或

py -X.Y -m pip install 模块(库、包)名

其中

X.Y代表Python版本，多余的部分舍弃如3.9.1取3.8，3.10.13取3.10，即只取第二个点前的部分。

D:\Python\Python310\python.exe -m pip install numpy

【关于安装安装第三方库的更多情况，可参见：https://blog.csdn.net/cnds123/article/details/104393385 】

我这里为Python 3.10（路径D:\Python\Python310）安装pyarmor，因此在cmd中，使用

D:\Python\Python310\python.exe -m pip install pyarmor

或

py -3.10 -m pip install pyarmor

即可。

安装完成之后，cmd中输入命令 pyarmor --version 并回车执行。如果安装成功，会显示出 Pyarmor 的版本信息。

如何PyArmor 8.0+版本混淆源码

对于PyArmor 8.0+版本（我这里是Pyarmor 8.4.7），混淆一个源码foo.py，可以在cmd中使用如下命令

pyarmor gen foo.py

该命令生成一个混淆的源码dist/foo.py，默认输出路径中所有生成的文件：

其中，有一个额外的 Python 包pyarmor_runtime_000000，需要它来运行混淆的源码。

分发源码和运行

仅仅复制dist/foo.py到另一台机器是行不通的，而是复制 dist目录， 请在相同Python版本、相同平台的机器上运行此混淆代码，否则无法运行。因为pyarmor_runtime_000000有扩展模块，所以它是平台相关的并且绑定到Python版本。

通过Python解释器运行它：

[pythond版本的路径/]python[.exe] dist/foo.py

例如

D:\Python\Python310\python dist/login_system_main.py                       

对于，前面建立的登录系统含有3个文件：

将这三个文件放到在D:/Encryption_testing中，注意这个路径下面用到。

D:\Encryption_testing中

auth.py

login_system_main.py

hashed_passwords.txt

其中，hashed_passwords.txt是登录密码，

auth.py认是证逻辑代码文件

login_system_main.py是用户交互的代码主文件

如何用pyarmor混淆并发布？

步骤1、打开命令行并切换到工作目录

首先，打开命令行工具（例如cmd或PowerShell），然后使用cd命令切换到你的工作目录：

cd /d D:\Encryption_testing

步骤2、使用PyArmor混淆Python源码

pyarmor gen auth.py

pyarmor gen login_system_main.py

这将在dist目录下生成混淆后的源码。默认情况下，混淆后的文件会被放在当前目录下的dist子目录中。你可以通过 -o选项来指定不同的输出目录。

步骤3、分发源码和运行

复制 dist目录， 请在相同Python版本、相同平台的机器上运行此混淆代码，否则无法运行。因为pyarmor_runtime_000000有扩展模块，所以它是平台相关的并且绑定到Python版本。

这样运行它：

D:\Python\Python310\python.exe dist/login_system_main.py

这样使用PyArmor好像有点麻烦。

这篇关于Python和JS开发者保护使用者敏感信息的策略浅谈的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---