HMAC

HMAC 的用途

HMAC 算法主要应用于身份验证，用法如下：

1.客户端发出登录请求
2.服务器返回一个随机值，在会话记录中保存这个随机值
3.客户端将该随机值作为密钥，用户密码进行 hmac 运算，递交给服务器
4.服务器读取数据库中的用户密码，利用密钥做和客户端一样的 hmac运算，然后与用户发送的结果比较，如果一致，则用户身份合法。

这么做有什么好处呢？ 如果我们在登录的过程中，黑客截获了我们发送的数据，他也只能得到 hmac 加密过后的结果，由于不知道密钥，根本不可能获取到用户密码，从而保证了安全性。

HMAC 的种类

算法种类                摘要长度

HmacMD5                 128
HmacSHA1                160
HmacSHA256              256
HmacSHA384              384
HmacSHA512              512

HMAC 的使用

1 . 刚才也看到了，想要使用 HMAC 算法，那么我们需要生成一个密钥，这个密钥怎么生成呢？自己随便瞎填吗？ JDK 中自带了一个密钥生成器 KeyGenerator 用于帮助我们生成密钥，示例如下

public static byte[] getSecretKey() throws Exception {
    KeyGenerator keyGenerator = KeyGenerator.getInstance("HmacMD5"); // 可填入 HmacSHA1，HmacSHA256 等
    SecretKey key = keyGenerator.generateKey();
    
    byte[] keyBytes = key.getEncoded();
    return keyBytes;
}

2 . 既然已经得到了密钥，那么下面就开始执行消息摘要算法，在这之前，由于我们生成的密钥是以 byte 数组返回的，所以我们需要将其还原成 SecretKey，具体过程如下

public static String encryptHmac(byte[] key, byte[] data) throws Exception {
    SecretKey secretKey = new SecretKeySpec(key, "HmacMD5");

    Mac mac = Mac.getInstance("HmacMD5");
    mac.init(secretKey);

    byte[] resultBytes = mac.doFinal(data);
    String resultString = byteToHexString(resultBytes);

    return resultString;
}

如果想使用其他的算法，可以将填入 HmacMD5 的所有字段改为你想使用的算法即可，比如 HmacSHA1, HmacSHA256 等。

下面对 helloworld 执行算法查看结果

1efd5e8d4d0c20f68bdc732fd7a79677