1.MD5是什么?
Message Digest Algorithm MD5（中文名为消息摘要算法第五版）是计算机安全领域广泛使用的一种散列函数(也叫Hash函数)，用以提供消息的完整性保护。其核心思想是从给定的数据中提取特征码，不容产生重复。加密后的字符串通常被称为指纹或消息摘要。

2.MD5算法特点
Ø 压缩性：任意长度的数据，算出的MD5值长度都是固定的。相同的字符串，每次MD5后的结果是固定的。都是32个字符
Ø 容易计算：从原数据计算出MD5值很容易。
Ø 抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有很大区别。
Ø 弱抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据（即伪造数据）是非常困难的。
Ø 强抗碰撞：想找到两个不同的数据，使它们具有相同的MD5值，是非常困难的。
不可逆性：不能逆运算。不可破解。

3、MD5的作用

3.1.一致性验证

1.1.我们都知道，地球上任何人都有自己独一无二的指纹,这常常成为司法机关鉴别罪犯身份最值得信赖的方法。与之类似，通过MD5就可以为任何文件(不管其大小、格式、数量)产生一个独一无二的"数字指纹"，如果任何人对文件做了任何改动，其MD5值也就是对应的"数字指纹"都会发生变化。
1.2 .具体来说文件的MD5值就像是这个文件的“数字指纹”。每个文件的MD5值是不同的，如果任何人对文件做了任何改动，其MD5值也就是对应的“数字指纹”就会发生变化。比如下载服务器针对一个文件预先提供一个MD5值，用户下载完该文件后，用这个算法重新计算下载文件的MD5值，通过比较这两个值是否相同，就能判断下载的文件是否出错，或者说下载的文件是否被篡改了。
1.3.利用MD5算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。

3.2.数字签名

MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹)以防止被“篡改”。

举个例子:
你将一段话写在一个叫readme.txt文件中，并对这个readme.txt产生一个MD5的值并记录在案，然后 你可以传播这个文件给别人，别人如果修改了文件中的任何内容，你对这个文件重新计算MD5时就会发现(两个MD5值不相同)。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的“抵赖”,这就是所谓的数字签名应用。

3.3.安全访问认证
典型案例：加密用户登录密码。
当用户登录的时候，系统把用户输入的密码进行MD5 Hash运算，然后再去和保存在文件系统中的MD5值 进行比较，进而确定输入的密码是否正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这可以避免用户的密码被具有系统管理员权限的用户知道。

4、MD5加密实现

代码实现

NSString *password = self.passField.text.md5String; // 执行一次MD5

NSString *password = self.passField.text.md5String.md5String; // 执行两次 MD5

对密码进行
MD5 加密 - 不安全

如何使MD5加密更安全?

加盐、现在用的比较少，前两年用得比较多。

//
准备盐

static NSString *salt =@"fadsfdbvcxweioa43$^$$$#@23123124{}{4";

NSString* password = [self.passField.text
stringByAppendingString:salt].md5String;

温馨提示：‘盐’在现实生活中是佐料,就是给密码加点料，salt要够咸(复杂点的字符串)。

用HMac：HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

NSString* password = [self.passField.text
hmacMD5StringWithKey:@"itheima"];

上面代码 md5 的过程：使用密钥itheima对密码加密，加密后做md5，得到32位字符串，再次使用 itheima 加密，再md5。

HMAC现在使用的比较广泛，安全级别更高,
破解难度高。

但还是有风险：每次结果一致，有可能被暴力破解。
要想做到的安全级别更更高，现在密码学要求：同样的算法，同样的密码明文，每次的结果不一样。

5、生成带时间戳的密码

使用时间戳，目前使用非常广泛

5.1使用客户端时间生成带时间戳的密码

• (NSString *)timePassword{

  //1.设置密钥key
  NSString *key = @"itheima".md5String;

  //2.使用密钥key对密码进行HMac
  NSString *pwd = [self.passField.texthmacMD5StringWithKey:key];

  NSLog(@"key = %@",key);

  //3.获得当前的系统时间
  NSDateFormatter *fmt = [[NSDateFormatter alloc] init];

  //指定时区，真机通常需要指定时区
  fmt.locale = [[NSLocale alloc] initWithLocaleIdentifier:@"zh"];

  //设置时间格式
  fmt.dateFormat = @"yyyy-MM-dd HH:mm";

  //格式化当前时间
  NSString *dateStr = [fmt stringFromDate:[NSDate date]];

//4.用密码+ 时间 生成密码

pwd =[pwd stringByAppendingString:dateStr];

//5.返回hmac 结果

return [pwd hmacMD5StringWithKey:key];

}
NSString *password = [self timePassword];

5.2使用服务器时间,生成带时间戳的密码

• (NSString *)timePassword{

  //1.设置密钥key
  NSString *key = @"itheima".md5String;

  //2.对密钥key对密码进行HMac
  NSString *pwd = [self.passField.text hmacMD5StringWithKey:key];

//3.获得当前服务器的系统时间

NSURL*url = [NSURL URLWithString:@"http://localhost/hmackey.php"];

//使用同步获取时间(注意：这里要使用同步,确定先获得服务器的时间,后面的代码才能执行)

NSData *timeData = [NSData dataWithContentsOfURL:url];

//反序列化取出时间

NSDictionary *dict = [NSJSONSerialization JSONObjectWithData:timeData options:0 error:NULL];

NSString *dateStr = dict[@"key"];

//4.用密码+ 时间 生成密码

pwd =[pwd stringByAppendingString:dateStr];

//5.返回hmac 结果

return [pwd hmacMD5StringWithKey:key];

}

问题解答：

为什么要获得服务器时间来对密码进行hmac？

有些人是走在时间的前面的，他手机上的时间设置会比真实的时间的快5分钟。如果是这样的，就会导致客户端获得的系统时间和服务器获得的系统时间相差几分钟。那就会导致
hmac 的结果不一致，无法登录。