random và secrets — Chọn loại số ngẫu nhiên đúng

Bài này bao quát hai module số ngẫu nhiên trong thư viện chuẩn. random cung cấp giá trị giả ngẫu nhiên cho test, game và mô phỏng (có thể tái lập với seed), và secrets cung cấp giá trị không thể đoán trước cho mật khẩu, token đặt lại và API key (lấy từ nguồn ngẫu nhiên mật mã của OS). Chọn đúng cái cho công việc là điều mà phần còn lại của bài bàn đến.

random và secrets khác nhau như thế nào

Cả hai module đều trả về số ngẫu nhiên, nhưng cơ chế và trường hợp sử dụng hoàn toàn khác nhau. random được xây dựng trên Mersenne Twister (một bộ sinh số giả ngẫu nhiên được sử dụng rộng rãi), và gọi random.seed(giá trị) cho phép bạn tái lập cùng một chuỗi. secrets, ngược lại, lấy từ nguồn ngẫu nhiên mật mã của OS (như /dev/urandom), nên không có khái niệm `seed` và các giá trị không thể đoán mỗi lần.

Với các trường hợp như test hay game — "không sao nếu kết quả bị lộ" — dùng random. Với mật khẩu, token và session ID — "nếu ai đó đoán được giá trị thì đó là sự cố bảo mật" — dùng secrets.

random — Cơ bản (randint / uniform / choice)

Cơ bản của random là ba thứ: một số nguyên ngẫu nhiên / một float ngẫu nhiên / chọn một phần tử từ danh sách. random.randint(min, max) trả về một số nguyên bao gồm cả hai đầu, random.uniform(min, max) trả về một float trong khoảng đã cho, và random.choice(danh sách) trả về một phần tử từ danh sách.

Hãy bắt đầu mà không dùng seed và xem các hàm cơ bản này hoạt động ra sao.

Thử ba hàm random cơ bản. Giá trị khác nhau mỗi lần chạy, nên ta xác minh bằng kiểm tra phạm vi và thuộc tập hợp thay vì so sánh chính xác.

① Import random.

② Sinh một số nguyên trong 1〜100 với random.randint và lưu vào n; sinh một float trong 0〜1 với random.uniform và lưu vào f; chọn một phần tử từ ["Apple", "Banana", "Cherry"] với random.choice và lưu vào picked.

③ In ra liệu n có trong 1〜100, f có trong 0〜1, và picked có thuộc danh sách gốc, dạng int range: True / False, float range: True / False, in list: True / False.

(Nếu code chạy đúng, phần giải thích sẽ hiện ra.)

random — Tái lập bằng seed và thao tác trên collection

Bây giờ hãy xem khả năng tái lập test với `random.seed` và các hàm thao tác trên collection (shuffle / sample). Sau khi gọi random.seed(N), cùng một seed luôn tạo ra cùng một chuỗi. random.shuffle(danh sách) đảo các phần tử của danh sách tại chỗ, và random.sample(danh sách, k) trả về một danh sách mới gồm k phần tử duy nhất lấy từ nó.

Xác nhận rằng một giá trị tạo ra với seed 42 khớp với một giá trị được tạo lại sau khi đặt lại seed về 42.

① Import random.

② Đặt seed về 42, rồi gọi random.randint(1, 100) một lần và lưu vào n1.

③ Đặt lại seed về 42, rồi gọi random.randint(1, 100) lần nữa và lưu vào n2.

④ In n1 == n2 dạng reproducible: True.

Thấy sự khác biệt giữa shuffle (sắp xếp lại bản thân danh sách) và sample (trả về danh sách mới).

① Đặt seed về 7 và chuẩn bị cards = [1, 2, 3, 4, 5].

② Gọi random.shuffle(cards) để sắp xếp lại nội dung của cards tại chỗ. In cards sau khi sắp xếp dạng after shuffle: ◯◯.

③ Đặt lại seed về 7, rồi gọi random.sample([1, 2, 3, 4, 5], 3) để chọn 3 phần tử duy nhất, và in kết quả dạng picked 3: ◯◯.

secrets — Ngẫu nhiên mạnh cho bảo mật

Module random ở các phần trước là một bộ sinh giả ngẫu nhiên cho test — nếu trạng thái nội bộ của nó bị lộ, các giá trị tiếp theo có thể bị đoán trước. Với những thứ như token đặt lại mật khẩu, API key và session ID — "nếu kẻ tấn công có thể đoán giá trị, bạn có lỗ hổng" — chọn module `secrets`, sử dụng nguồn ngẫu nhiên mật mã của OS.

secrets có API nhỏ hơn nhiều so với random — chủ yếu là các helper biến byte ngẫu nhiên thành chuỗi hex hoặc chuỗi an toàn cho URL.

Sinh token bảo mật bằng secrets và kiểm tra độ dài và bộ ký tự. Giá trị thực thay đổi mỗi lần chạy, nên ta xác minh các thuộc tính như độ dài.

① Import secrets.

② Sinh một token hex 16 byte, in độ dài dạng hex length: ◯, rồi kiểm tra nó chỉ chứa các ký tự trong 0-9 và a-f dạng hex is hex only: True / False.

③ Sinh một token an toàn URL 16 byte và in độ dài dạng urlsafe length: ◯.