· 全部指南
哈希 ≠ 加密
哈希是单向摘要:相同输入得到相同输出,无法从摘要反推原文。加密是可逆的(有密钥就能解密)。密码存储必须用单向哈希 + 盐(salt)+ 慢哈希算法,绝不能加密后存库——密钥一旦泄露,全部密码裸奔。hash-generator 适合理解 MD5、SHA-256 等摘要算法的行为,但不应用于密码存储。
SHA-256 适合文件校验、区块链、API 签名等完整性场景——需要快速、确定性输出。密码场景需要故意「慢」:bcrypt、scrypt、Argon2 通过 cost factor 抵御暴力破解。Towalles bcrypt 工具演示 rounds 与 hash 格式,仅供学习参数含义,生产环境在服务端用成熟库生成。
密码策略与生成
强密码不等于复杂规则堆砌。NIST 现代建议:长度优先(12 位以上)、检查泄露密码库(Have I Been Pwned)、避免定期强制改密导致用户写便签。password-generator 可生成随机口令;password-strength 评估熵与常见弱模式,适合团队培训,不要收集员工真实密码做测试。
多因素认证(MFA)比单纯加长密码更有效。工具站无法替代身份提供商——OAuth、WebAuthn、TOTP 应在你的应用架构中实现。本地 generator 适合创建测试账号密码,部署前务必替换为密钥管理系统或环境变量注入的凭据。
API 签名与 HMAC
Webhook 与开放 API 常用 HMAC-SHA256 验证请求体未被篡改:服务端与客户端共享 secret,对 canonical 字符串计算 MAC 并比对。这与密码哈希不同——HMAC 需要密钥,且要防 timing attack(使用恒定时间比较)。hmac-generator 适合本地复现文档示例,验证你的实现与官方 SDK 输出一致。
生产 secret 不要粘贴到任何在线工具(包括 Towalles)。用脱敏样本或轮换后的旧密钥做联调。hash-generator 与 hmac-generator 组合使用,可理清「摘要」「带密钥的摘要」「JWT 签名」三者的边界——这是后端面试与代码审查的高频考点。