iOS面试 - 消息认证码算法 HMAC

HMAC (Message Authentication Code，消息认证码算法)

• HMAC 利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。
• HMAC 主要使用在身份认证中。

HMAC 认证流程如下：

1. 客户端向服务器发送一个请求；
2. 服务器接收到请求后，生成一个“随机数”并通过网络传输给客户端；
3. 客户端将接收到的“随机数”和“密钥”进行 HMAC-MD5 运算，将得到的结果作为认证数据传递给服务器；
4. 与此同时，服务器也使用该“随机数”与存储在服务器数据库中该客户的“密钥”进行 HMAC-MD5 运算；如果服务器的运算结果与客户端传回的认证数据相同，则认为客户端是一个合法用法。

HMAC_SHA1

• HMAC_SHA1 是一种安全的基于加密 hash 函数和共享密钥的消息认证协议。
• 它可以有效地防止数据在传输过程中被截获和篡改，维护数据的完整性、可靠性和安全性。
• HMAC_SHA1 消息认证机制的成功在于一个加密的 hash 函数、一个加密的随机密钥和一个 安全的密钥交换机制。

HMAC_SHA1 认证流程如下：

1. 在原始 URL 里加入一个名称为 e 的时间戳参数，避免缓存而得到旧的数据;
2. 分解请求的URL，从中取出 path 部分和 query_string 部分;
3. 将 query_string 中的参数按名称排序，然后按顺序用 = 和 & 连接成新的 query_string ;
4. 用字符串拼接的方式组装 path 和 query_string，两者之间以 ? 连接成新