目录
- 随机整数,
randint与randrange - 随机浮点数,
random - 从序列中随机选择,
choice与choices - 伪随机数的可复现性
- 密码学安全的随机数,
secrets模块 - SystemRandom 类
- 总结,什么场景用什么
本文是对 Python Morsels: Random Numbers 一文的解读和整理。
Python 标准库里跟随机数打交道的模块有两个, random 和 secrets 。 random 生成伪随机数,速度快,日常用够了。 secrets 生成密码学安全的随机数,不可预测,安全相关的场景用这个。
先看最常用的几个操作。
随机整数, randint 与 randrange
最常用的随机整数函数是 randint 。它接受起始值和结束值,返回两者之间的随机整数, 包含两端 :
from random import randint print(randint(1, 6))
3
random 模块还有个 randrange 函数,命名和用法都跟内置的 range 函数一致。 range 能怎么调, randrange 就能怎么调。
只传终止值(从 0 到终止值之间,不包含终止值):
from random import randrange print(randrange(10))
2
2
传起始值和终止值:
8
传起始值、终止值和步长:
print(randrange(0, 100, 10))
90
randint 和 randrange 的区别在于对终止值的处理。 randint(1, 6) 可能返回 6, randrange(6) 永远不会返回 6。需要随机整数时, randint 更直观。
随机浮点数, random
想要随机浮点数的话,用 random 函数。它返回 0.0 到 1.0 之间的浮点数:
from random import random print(random())
0.3452380767261871
乘以一个倍数就能得到更大范围的值:
23.577339429778577
不过实际编程中,随机浮点数的需求远不如随机整数频繁。大多数时候你要的是从列表里挑一个或者掷骰子,用整数或后面要说的 choice 就够了。
从序列中随机选择, choice 与 choices
很多时候你要的不是一个随机数,是从一组东西里随机挑一个。这种场合 random.choice 比 randint 更直接。
假设有一个颜色列表,想随机挑一种颜色:
from random import choice colors = ["red", "blue", "green", "yellow", "purple"] print(choice(colors))
purple
如果你需要挑多个(允许重复),用 choices 并指定 k 参数:
from random import choices colors = ["red", "blue", "green", "yellow", "purple"] print(choices(colors, k=3))
['green', 'yellow', 'green']
choice 和 choices 适用于任何序列类型,不只是列表。字符串也是序列,所以可以直接从字符集合里挑:
from random import choices print(choices("ACGT", k=10))
['T', 'T', 'C', 'C', 'G', 'G', 'A', 'C', 'G', 'T']
这个特性在生成随机字符串时特别有用——普通场景(比如 DNA 序列模拟)用 random.choices 就够了,安全敏感的场景(验证码、令牌)则要用后面会说的 secrets.choice 。
伪随机数的可复现性
random 模块生成的是伪随机数。底层用的是梅森旋转算法(Mersenne Twister),一个确定性算法。只要初始状态相同,产生的随机序列就完全相同。
所以你可以通过设置随机种子(seed)让随机数变得 可预测 。听起来跟「随机」矛盾,但在测试和调试时特别好用。拿下面这个 generate_code 函数来说,它能生成 16 位随机字符串:
import random def generate_code(): characters = "ABCDEFGHJKLPQRTUVWXY234679" return "".join([random.choice(characters) for _ in range(16)]) random.seed(5) print(generate_code())
YJ6P9462VAT7H2BF
每次用 random.seed(5) 设定种子后,第一次调用 generate_code() 的结果永远是 YJ6P9462VAT7H2BF ,跟在哪台机器上跑都无关。这样写测试就靠得住:
random.seed(5) assert generate_code() == "YJ6P9462VAT7H2BF" print("Test passed")
Test passed
而且种子可以重复设置,相同的种子会产生相同的随机序列:
from random import seed, randint seed(42) print(randint(1, 100)) seed(42) print(randint(1, 100))
82 82
可复现性在调试时很有用,某个随机数触发的 bug,只要记住种子就能反复复现。但这可预测性也有坏处。Python 的默认种子基于当前时间,如果有人能猜出你的代码什么时候跑的,或者从你生成的几个随机数反推出种子的状态,他就能预测你接下来会生成什么。如果你的随机数涉及密码、令牌、session key 这些安全敏感场景,就别用 random 了。
密码学安全的随机数, secrets 模块
需要生成第三方不可预测的随机数时,用 secrets 模块。它从操作系统的安全随机源(比如 Linux 的 /dev/urandom )读取数据,生成的随机数在密码学意义上是安全的,不可预测。
secrets 也提供了 choice 函数,用法跟 random.choice 一样,结果是不可预测的。
import secrets characters = "ABCDEFGHJKLPQRTUVWXY234679" print(secrets.choice(characters)) print("".join([secrets.choice(characters) for _ in range(16)]))
7 3GDLTHG3LLQGWQCE
secrets 还提供了几个 random 模块没有的函数:
secrets.randbits(n)生成n个随机比特,以整数形式返回secrets.randbelow(n)返回 0 到n之间的随机整数,不包含n
import secrets print(secrets.randbits(16)) print(secrets.randbelow(100)) print(secrets.randbelow(6) + 1)
60468 90 6
随机比特适合生成加密密钥,随机下限值适合做抽奖或随机索引。
此外, secrets 还提供了两个生成安全令牌的专用函数:
secrets.token_hex(n)返回包含n个随机字节的十六进制字符串,适合直接当密钥或令牌用secrets.token_urlsafe(n)返回包含n个随机字节的 Base64 URL 安全字符串,适合生成重置密码链接中的令牌参数
import secrets print(secrets.token_hex(16)) print(secrets.token_urlsafe(16))
deb22c5ae4792dac534337f891974876 8462YT76QewAPJ0doIv_CA
SystemRandom 类
secrets 的模块级函数不多( choice 、 randbelow 、 randbits 、 token_hex 、 token_urlsafe ),如果你想要安全随机数,但还想用 random.randint 那些 API,可以用 secrets.SystemRandom 类。它是 random.Random 的子类, random 模块的函数它都有,只不过底层用的是安全随机源。
from secrets import SystemRandom secure_random = SystemRandom() print(secure_random.random()) print(secure_random.randint(1000, 9999)) print("".join(secure_random.choices("ABCDEFGHJKLPQRTUVWXY234679", k=16)))
0.8334571494524645 9828 X3DPFLTQDYE7WXVG
不过你通常不需要用到这么深。大多数安全场景用 secrets.choice 、 secrets.token_hex 或 secrets.token_urlsafe 就够了。
总结,什么场景用什么
游戏、模拟、做随机测试数据这类普通场景用 random 就行,速度快,需要时种子一设就能复现。测试场景用 random.seed 固定种子,保证每次跑出的随机序列一样。密码、令牌、加密密钥这类安全场景用 secrets ,不可预测。想用安全随机源但又舍不得 random 那套 API,那就上 secrets.SystemRandom 。