如何在 Go 中正确生成基于随机数据的 SHA256 哈希值

本文解释为何直接将 `time.now().unix()` 转为字符串再哈希会导致固定结果，并提供使用 `crypto/rand` 安全生成随机字节并计算 sha256 的标准实践。

在 Go 中，若试图通过时间戳生成“随机” SHA256 哈希（例如 sha256.Sum256([]byte(string(time.Now().Unix())))），结果却总是相同——这并非 bug，而是由 Go 类型转换规则导致的语义误解。

根本原因在于：time.Now().Unix() 返回 int64，而 string(int64Value) 并非将其格式化为数字字符串（如 "1718234567"），而是尝试将该整数值解释为 Unicode 码点。由于 Unix 时间戳远超 Unicode 有效范围（U+0000–U+10FFFF），Go 会统一替换为 Unicode 替换字符 U+FFFD（即 `），其 UTF-8 编码恒为[]byte{0xef, 0xbf, 0xbd}`。因此，无论时间如何变化，哈希输入始终是这三个字节，输出自然固定：

package main

import (
    "crypto/sha256"
    "fmt"
    "time"
)

func main() {
    timestamp := time.Now().Unix()
    // ❌ 错误：不是数字字符串，而是无效码点转义
    badInput := []byte(string(timestamp)) // 总是 []byte{0xef, 0xbf, 0xbd}
    fmt.Printf("SHA256(): %x\n", sha256.Sum256(badInput)[:45])
    // 输出恒为：83d544ccc223c057d2bf80d3f2a32982c32c3c0db8e26
}

✅ 正确做法是：显式将时间戳格式化为字符串，或更推荐地——使用密码学安全的随机源生成真正随机字节。

✅ 推荐方案：使用 crypto/rand（安全、简洁、无需手动 seed）

package main

import (
    "crypto/rand"
    "crypto/sha256"
    "fmt"
)

func main() {
    // 生成 32 字节密码学安全随机数据（适合哈希/密钥等场景）
    data := make([]byte, 32)
    if _, err := rand.Read(data); err != nil {
        panic(err) // 实际项目中应妥善处理错误
    }

    hash := sha256.Sum256(data)
    fmt.Printf("SHA256(random bytes): %x\n", hash)
}

? crypto/rand 基于操作系统熵源（如 /dev/urandom），无需手动 seed，且满足密码学安全要求；而 math/rand 是伪随机数生成器（PRNG），即使加了 rand.Seed(time.Now().UnixNano())，其输出仍可预测，绝不应用于安全敏感场景。

✅ 备选方案：用时间戳作为可读标识符（非随机源）

若你本意是让哈希结果“随时间变化”且具备可追溯性（如日志 ID、缓存键），应先格式化时间：

t := time.Now().
UTC().Format("2006-01-02T15:04:05.999Z07:00")
hash := sha256.Sum256([]byte(t))
fmt.Printf("SHA256(timestamp string): %x\n", hash)
// 每次运行输出不同，且人类可读

注意事项总结：

• ❌ 避免 string(int64) —— 它不等于数字字符串，而是 Unicode 码点转换；
• ✅ 需要随机性 → 用 crypto/rand.Read()；
• ✅ 需要时间相关性 → 用 time.Format() 生成字符串后再哈希；
• ✅ 哈希结果截断（如 [:45]）仅用于展示，生产中应使用完整 64 字符十六进制或原始 [32]byte；
• ⚠️ sha256.Sum256() 返回值是值类型，可直接 .String() 或 [:] 转 []byte，无需 fmt.Sprintf("%x", ...)。

遵循以上原则，即可稳定、安全、可维护地生成符合预期的 SHA256 哈希值。