PyNaCl：Python 加密库，基于 libsodium

PyNaCl：Python 加密库，基于 libsodium

PyNaCl 是一个 Python 加密库，目前收获了 1,195 个 Star：

PyNaCl 是 libsodium 库的 Python 绑定。libsodium 本身是 NaCl（Networking and Cryptography library）的一个分支，核心目标是在保证安全的前提下提升易用性和执行效率。PyNaCl 支持 Python 3.8 及以上版本，同时也兼容 PyPy 3。

功能概览

PyNaCl 提供了一系列密码学原语，覆盖了常见的加密需求：

• 数字签名：基于 Ed25519 算法，用于生成和验证签名
• 对称密钥加密：基于 XSalsa20-Poly1305，适合需要高性能加解密的场景
• 公钥加密：基于 Curve25519、XSalsa20 和 Poly1305，用于安全的密钥交换和消息加密
• 哈希与消息认证码：支持 SHA-256、SHA-512 以及 HMAC
• 密码学密钥派生与密码哈希：基于 scrypt 和 Argon2，适合密码存储场景

这些 API 的设计思路是把底层 C 库的调用包装成符合 Python 习惯的接口，开发者不需要直接处理内存分配和指针操作。

设计特点

PyNaCl 继承了 libsodium 的设计哲学。libsodium 在选择默认参数时优先考虑安全性，而不是让开发者自己决定密钥长度、迭代次数或随机数生成方式。这种设计降低了误用的概率，尤其对不熟悉密码学细节的开发者比较友好。

库的底层依赖通过预编译的 wheel 分发，安装时通常不需要额外配置编译器。如果系统环境特殊，也可以从源码构建。

安装方式

直接通过 pip 安装即可：

pip install pynacl

PyNaCl 已经集成了 libsodium 的预编译二进制文件，所以安装过程一般不需要手动处理系统依赖。

使用示例

生成一对 Ed25519 签名密钥，对消息进行签名并验证：

fromnacl.signingimportSigningKey signing_key=SigningKey.generate()verify_key=signing_key.verify_key message=b"The quick brown fox jumps over the lazy dog"signed=signing_key.sign(message)verify_key.verify(signed)

这段代码会生成随机的密钥对，对字节串进行签名，然后使用公钥验证签名的有效性。

适用场景

PyNaCl 适合需要在 Python 项目中集成密码学功能的开发者。它避免了让开发者直接接触底层加密细节，同时提供了经过审计和广泛测试的实现。对于需要数字签名、安全通信通道或密码存储的应用来说，这是一个可以直接引入的选项。

项目持续维护中，文档托管在 Read the Docs 上，提供了完整的 API 参考和更新日志。

直接引入的选项。

项目持续维护中，文档托管在 Read the Docs 上，提供了完整的 API 参考和更新日志。