@villivateur 正解

如果你是考虑合规需求，那么 SHA-256 加盐的任何用法基本都是能满足要求的，除非国密强制 SM3 。如果是海外合规相关，上边有人提到 argon2id 以及 bcrypt ，相比 SHA2 系列算法的“合规”风险更高，因为有些审核机构会指定要求 FIPS 许可算法。 如果你只是单纯考虑安全性本身，无脑 SHA-512 就可以。首先 SHA-512 和 SHA-256 可以简单认为不是一个算法，其次 SHA-512 的算法安全强度是 256bits ，而 SHA-256 只有 128bits 。参考 SP 800-57 即可。

理论上 512 更安全 搞 crypto 库的路过，其实这两都是 SHA2 家族的，算法一样，差别就是最后是否压缩摘要。 p.s. 跟楼上说的一样，如果要存密码，就不要用加盐的方式。

抛开其它的，从基本的计算安全性来说算的慢更安全

找 Gemini 分析了一下，它提到了一点： 你用两个 SHA256 拼接，那么攻击者只要能碰撞出来两个 Hash 中的任意一个就能破解了。从这个角度看还不如只 SHA256 一次。 如果要保存密码，推荐看一下这篇文章： https://crackstation.net/hashing-security.htm SHA256 的优势在于速度快，但是保存密码需要一个“慢”算法来让暴力破解几乎不可能。