app在登录的时候需要输入用户名，密码传给后台服务器，后台确认你的用户名密码是否正确，然后确定是否登陆成功。但是在与后台传入用户名和密码的时候需要进行加密处理，防止用户的密码泄漏。

方法一：md5加密

实现原理：

最简单的我们把用户输入的密码进行md5加密，然后传给后台，后台根据你注册的时候存到后台的密码的md5值去匹配，成功则登陆成功，不成功则匹配失败。

NSString *userID = @“xuli”；

NSString *md5Password = password.md5String;

将userID /md5Password传给服务器，服务器去验证是否正确。

风险性分析：

md5加密很容易被破解。破解网址：http://www.cmd5.com， 对相同的数据加密，得到的结果是一样的。 对不同的数据加密，得到的结果是定长的。md5对不同的数据进行加密，得到的结果都是32个字符。所以最多的有36^32种加密结果，有些人专业做这个，采集所有的情况，所以md5加密很不安全。所以这种方式不采纳。

方法二：md5加盐

因为单纯的字符串进行md5加密很容易破解，所以可以考虑md5加盐的方式。

实现代码：

NSString *password = @"84384";

 NSString *salt = @"as234567890-!@#$%^&*()_+QWERTYUIOP{ASDFGHJKL:XCVBNM<>dkfak32i438sadkjadkjaj";

password = [password stringByAppendingString:salt];

password = password.md5String;

风险性分析：

此种方法相对来说比单纯的md5要安全，加上盐之后的字符串会复杂一点，较难破解。但是这种也存在一种风险，这种盐是写死在客户端的，那么开发人员会知道此盐，如果开发人员泄漏啦盐那么会存在很大的风险。所以这种方式也不采用。

方法三：Hmac加密+到服务器请求key值

HMAC算法（这种方法相对安全）

HMAC是最近几年用的比较多的一种加密算法。给定一个秘钥，对明文加密，做两次散列算法，还是的到一个32位的字串。在实际开发中，秘钥匙是服务器给的。但是这种也是不安全的，如果能够拿到用户的key，那么就可以模拟用户的登录逻辑，不断转账。这是不安全的

注册处理：注册账号发给服务器，服务器校验是否是合法的，如果是合法帐号，给你生成一个key,然后进行Hmac加密，将一个32位的字符串发给服务器。此时服务器存储的是你的key值和加密后的密码。

登陆处理：账号发给服务器，服务器给你一个key，然后你拿到key进行hmac加密，加密后的到一个32位的字符串发给服务器，服务器校验你的数据是否正确，然后登录是否成功。给你回馈

实现代码：

//需要加密的字符串

    NSString *pwdLogin = @"34o5o3492";

    //密钥是服务器给的，（需要请求获取key,此key是需要加密传输的）

    NSString *secretKeyLogin = @"sakldfjlakl;sdfjklaksj";

    //进行hmac加密

    NSString *hmacPwdLogin = [pwdLogin hmacMD5StringWithKey:secretKeyLogin];

    //将加密后的数据传给后台

风险分析：如果黑客，模拟你的网络请求可以截获你的key值，那么会泄漏密码（不采纳）

方法三：Hmac加密+到服务器请求key值+时间戳

让我们加密的密码具有实效性，即使黑客截获了你的密码，那么也必须在一分钟之内完成。所以比较安全。

注册的逻辑：

客户端：

password = （用户输入的密码+key）进行一次HMAC。

服务器：

存储password

key

登录的逻辑

客户端：((password+key)HMAC+'20170909').md5

服务器：服务器拿到之后

服务器根据账号拿到password+key,

(password+'20170910').md5

对比客户端发送过来的password是否一致，如果不一致，再计算上一分钟的password+时间的md5值。只要服务器当前时间或者上一分钟，加密后的字符串相等就反回登陆成功。