iOS hmac_sha1/hamc_sha256加密的正确姿势

现在很多云API请求的参数都需要加密，如腾讯云，阿里云。当你在集成和调用API获取的数据时，
你会发现要对参数作很多操作，像参数排序、拼接、加密等，你可能觉得为什么要搞那么繁琐，
而且很容易出错，而且不知道到底为什么会出错，此时你一定会很郁闷。

为什么要加密呢，当然是为了安全了（废话）。参阅文章

我们知道尤其是GET请求是所有参数都会放到URL中，这样会把我们的所有信息全暴露出去，像ID，密钥等。
这是很不安全的。

所以API接口安全要求：

1. 防伪装攻击（案例：在公共网络环境中，第三方 有意或恶意 的调用我们的接口）
2. 防篡改攻击（案例：在公共网络环境中，请求头/查询字符串/内容 在传输过程被修改）
3. 防重放攻击（案例：在公共网络环境中，请求被截获，稍后被重放或多次重放）
4. 防数据信息泄漏（案例：截获用户登录请求，截获到账号、密码等）

其他如加密算法的介绍有很多资料，在这不必赘述。[参阅文章]

本文主要是介绍iOS如何正确获取加密字符串。
代码是Swift版本，因为语法的问题，Swift上可能更无从着手。

假设参数进行排序拼接最后得到的签名原文字符串为：

GETcvm.tencentcloudapi.com/?Action=DescribeInstances&InstanceIds.0=ins-09dx96dg&Limit=20&Nonce=11886&Offset=0&Region=ap-guangzhou&SecretId=AKIDz8krbsJ5yKBZQpn74WFkmLPx3EXAMPLE&Timestamp=1465185768&Version=2017-03-12

假设用户的 SecretId 和 SecretKey 分别是：

• SecretId: AKIDz8krbsJ5yKBZQpn74WFkmLPx3EXAMPLE
• SecretKey: Gu5t9xGARNpq86cd98joQYCN3EXAMPLE

获取hmac-sha1加密字符串（一）

func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
    if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
        print("Unsupport algorithm.")
        return ""
    }
    
    let cKeyString = keyString.cString(using: .utf8)
    let cDataString = dataString.cString(using: .utf8)
    
    let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
    
    var cHMAC = [UInt8](repeating: 0, count: Int(len))
    CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)
    
    /// 结果十六进制数据Base64编码
    var hexString = ""
    for byte in cHMAC {
        hexString += String(format: "%02x", byte)
    }

    //let data = Data(bytes: hexString.cString(using: .utf8)!, count: hexString.count)
    let data = hexString.data(using: .utf8)!
    let base64String = data.base64EncodedString()
    
    return base64String
}

注意：该方法是将加密结果转成了十六进制字符串了（这时候可以直接print），然后再进行Base64编码
结果

hexString = "12588ff585b7a56dbc169b047645edffe59c19e2"
base64String = "MTI1ODhmZjU4NWI3YTU2ZGJjMTY5YjA0NzY0NWVkZmZlNTljMTllMg=="

获取hmac-sha1加密字符串（二）

你可能会发现，有时候(一)中的结果和API提供的示例结果不同，当然这样加密，然后拿去请求肯定会返回错误提示，如：签名错误，
而不是请求的数据。然后各种尝试都不对，这时候你应该很郁闷，怎么会不对呢。因为API可能要的是将hmac结果二进制数据base64编码的结果
正解如下：

func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
    if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
        print("Unsupport algorithm.")
        return ""
    }
    
    let cKeyString = keyString.cString(using: .utf8)
    let cDataString = dataString.cString(using: .utf8)
    
    let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
    
    var cHMAC = [UInt8](repeating: 0, count: Int(len))
    CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)
    
    /// 原结果二进制数据Base64编码
    //let data = Data(bytesNoCopy: &cHMAC, count: Int(len), deallocator: Data.Deallocator.none)
    let data = Data(bytes: &cHMAC, count: Int(len))
    let base64String = base64Data.base64EncodedString()
    
    return base64String
}

是的，直接将cHMAC（UInt8数组）包装成Data（cHMAC也是二进制数据，只是没法直接使用），
然后Base64编码即可。这就是所谓的将hmac加密结果二进制数据Base64编码的结果

cHMAC = [18, 88, 143, 245, 133, 183, 165, 109, 188, 22, 155, 4, 118, 69, 237, 255, 229, 156, 25, 226 ...]
data = (UnsafeRawPointer)[18, 88, 143, 245, 133, 183, 165, 109, 188, 22, 155, 4, 118, 69, 237, 255, 229, 156, 25, 226 ...]
base64String = "EliP9YW3pW28FpsEdkXt/+WcGeI="

获取hmac-sha1加密字符串（三）

（一）和（二）正常情况是没问题的，但是如果要签名的字符串中包含像中文这类的字符，加密的结果其实是有问题的。所以最好这样来加密：

private func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
        if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
            print("Unsupport algorithm.")
            return ""
        }
        
        let keyData = keyString.data(using: .utf8)! as NSData
        let strData = dataString.data(using: .utf8)! as NSData
        let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
        var cHMAC = [UInt8](repeating: 0, count: Int(len))
        
        CCHmac(algorithm, keyData.bytes, keyData.count, strData.bytes, strData.count, &cHMAC)
        
        let data = Data(bytes: &cHMAC, count: Int(len))
        let base64String = base64Data.base64EncodedString()
        return base64String
    }

其他算法（如：Hmac_sha256，CC_SHA1， CC_MD5）也一样

附：

CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)

等价于：

var context = CCHmacContext()
CCHmacInit(&context, algorithm, cKeyString, keyString.count)
CCHmacUpdate(&context, cDataString, dataString.count)
CCHmacFinal(&context, &cHMAC)

更多详情：=> Demo

转载备注：原文链接
个人博客：Jorn丶Wu