在部署 Umami 时，HASH_SALT（哈希盐值）是一个关键安全参数，用于加密用户会话和敏感数据。以下是关于它的详细说明和生成方法：

为什么需要 HASH_SALT？

1. 安全加固：
   盐值用于增强密码哈希的随机性，防止彩虹表攻击（Rainbow Table Attacks）。

2. 数据完整性：
   确保用户会话令牌（JWT）、API 密钥等敏感数据的唯一性和不可预测性。

3. 隐私合规：
   在匿名化用户数据（如生成访客 ID）时提供额外保护层。

如何生成安全的随机盐值？

▶ 方法 1：使用 OpenSSL（推荐）

# 生成 64 位强随机盐值（Base64 编码）
openssl rand -base64 48

输出示例：
t8FgH2qZ9LkP4eR7vXwJy1oN3cBm6DsA0zU5xYbVlCqM9iKpO7uGhTfWn4SdEaZrX

▶ 方法 2：Node.js 脚本

require('crypto').randomBytes(48).toString('base64');

▶ 方法 3：Python

import os, base64
print(base64.b64encode(os.urandom(48)).decode('utf-8'))

配置要求

在 Umami 中配置盐值

1. .env 文件示例

DATABASE_URL=postgresql://user:password@db:5432/umami
HASH_SALT=t8FgH2qZ9LkP4eR7vXwJy1oN3cBm6DsA0zU5xYbVlCqM9iKpO7uGhTfWn4SdEaZrX

2. Docker 环境变量

environment:
  HASH_SALT: "your-generated-salt-here"  # 替换为你的随机盐值

常见问题

❌ 错误做法：

• 使用简单字符串（如 umami123）

• 复用其他项目的盐值

• 硬编码在客户端代码中

✅ 正确实践：

1. 首次部署时生成：在初始化 Umami 前生成唯一盐值。

2. 备份盐值：将其保存在安全的密码管理工具（如 Bitwarden、1Password）。

3. 集群部署：多节点 Umami 实例必须共享同一盐值（否则会话失效）。

盐值丢失/泄漏怎么办？

1. 立即重置：

• 生成新盐值 → 更新 .env → 重启 Umami 服务。

2. 强制用户重新登录：
   盐值变更会使所有现有会话失效（用户需重新登录控制台）。

3. 不影响历史数据：
   已存储的分析数据不受盐值变更影响（仅影响新会话和用户认证）。

⚠️ 警告：如果盐值泄漏且未启用 CLOUD_MODE=1（禁用注册），攻击者可能伪造管理员账户。

最佳实践总结

graph LR
A[生成盐值] -->|OpenSSL/Node.js/Python| B(长度≥64字符)
B --> C[保存至安全位置]
C --> D[写入.env或K8s Secret]
D --> E[重启Umami服务]
E --> F[验证控制台登录]

通过强随机盐值，可显著提升 Umami 抵御凭证破解和会话劫持的能力。