先加密后签名还是先签名后加密？

先签名后加密还是先加密后签名呢？

先说结论，通常情况下应该先签名后加密。
签名算法计算出来的签名是为了验证消息的完整性，签名算法有比如HMAC-SHA256，加密算法则是为了保证消息的机密性，类似AES-GCM、AES-CBC，这两种加密算法的安全性并不一致。GCM的填充方式更加的安全，CBC则不然。至于为什么会安全一些，可以参考一下文章

我们尝试先加密后签名：

假设是先加密后签名，会发生什么事情？

如果先加密的话，因为加密之后值会随着随机因子的变化而变化，此时去校验加密之后密文的完整性是没有意义的，因为你只能校验加密之后密文的完整性，而加密之后密文的完整性是可以通过解密的过程来校验的。那谁来校验加密之前的消息的完整性呢？这段话有点绕，我们通过图片来展示：

附加：如果需要第三方进行验签的时候，传送的消息只有hash值，没有cipherText，第三方没有加密密钥，如果需要加密后才能签名，那么第三方可能就没办法验签。

AES-GCM具体加密流程，如何保证完整性和机密性可以看一下这篇文章