MD5防止数据被篡改的做法

一、基本思路

最近做IM系统，移动端一个同学问我怎么防止App发出来的数据被篡改（防止内容泄露更重要），我想到了“签名校验 ”的方法。

大致思路是把发送的数据（用src表示）和一段我们自己才知道的字符串（用key表示），通过一个算法变为一段签名文本（用sign表示）。在服务器端接收到数据src和sign后，用相同的算法计算出签名文本（用sign1）表示。比较sign和sign1是否一致。如果一致表明数据（src）没有被篡改。

二、算法需求

怎么简单理解“签名校验”呢？

首先需要找到一个函数f(x)，通过src,key求得sign，如下图

这个函数f(x)要满足一下几个条件

1、容易计算，有大量内容需要签名时，速度很重要

2、压缩性，不管src多大计算出的sign需要保持定长。方便比较，且不至于大量消耗内存空间

3、抗修改，对原数据进行任何改动，哪怕只修改1个字节，得到的sign值都有很大区别

4、强抗碰撞（不可逆），知道sign，想反解出src和key不可能或非常困难。即找不到函数f(x)的可逆函数

三、具体做法

f(x)选用MD5算法，MD5全名Message-Digest Algorithm 5（信息-摘要算法）是一种不可逆的加密算法。

1、参数处理，将需要签名校验的参数以及对应的值按照一定规则处理成字符串src

2、令signSrc = src+key

3、sign = MD5Encrypt.getMessageDigest(signSrc);

客户端按照这个方法计算得到sign，服务端再按相同方法计算得到sign1，比较两者是否一致，即可完成校验。