HMAC 的用途
HMAC 算法主要应用于身份验证,用法如下:
1.客户端发出登录请求
2.服务器返回一个随机值,在会话记录中保存这个随机值
3.客户端将该随机值作为密钥,用户密码进行 hmac 运算,递交给服务器
4.服务器读取数据库中的用户密码,利用密钥做和客户端一样的 hmac运算,然后与用户发送的结果比较,如果一致,则用户身份合法。
这么做有什么好处呢? 如果我们在登录的过程中,黑客截获了我们发送的数据,他也只能得到 hmac 加密过后的结果,由于不知道密钥,根本不可能获取到用户密码,从而保证了安全性。
HMAC 的种类
算法种类 摘要长度
HmacMD5 128
HmacSHA1 160
HmacSHA256 256
HmacSHA384 384
HmacSHA512 512
HMAC 的使用
1 . 刚才也看到了,想要使用 HMAC 算法,那么我们需要生成一个密钥,这个密钥怎么生成呢?自己随便瞎填吗? JDK 中自带了一个密钥生成器 KeyGenerator 用于帮助我们生成密钥,示例如下
public static byte[] getSecretKey() throws Exception {
KeyGenerator keyGenerator = KeyGenerator.getInstance("HmacMD5"); // 可填入 HmacSHA1,HmacSHA256 等
SecretKey key = keyGenerator.generateKey();
byte[] keyBytes = key.getEncoded();
return keyBytes;
}
2 . 既然已经得到了密钥,那么下面就开始执行消息摘要算法,在这之前,由于我们生成的密钥是以 byte 数组返回的,所以我们需要将其还原成 SecretKey,具体过程如下
public static String encryptHmac(byte[] key, byte[] data) throws Exception {
SecretKey secretKey = new SecretKeySpec(key, "HmacMD5");
Mac mac = Mac.getInstance("HmacMD5");
mac.init(secretKey);
byte[] resultBytes = mac.doFinal(data);
String resultString = byteToHexString(resultBytes);
return resultString;
}
如果想使用其他的算法,可以将填入 HmacMD5 的所有字段改为你想使用的算法即可,比如 HmacSHA1, HmacSHA256 等。
下面对 helloworld 执行算法查看结果
1efd5e8d4d0c20f68bdc732fd7a79677
