前言：先简单介绍几种加密

• 对称加密
  加密解密的秘钥是同一个。相对来讲简单一些，同时相对不安全。
  常见的是：DES、AES
• 非对称加密
  加密和解密的秘钥不同。一般是公钥加密，私钥解密。
  比如客户端需要通过jsBridge传递数据给h5，但是有些隐私数据如用户的姓名 手机号等等就不能通过明文传输。客户端通过RSA公钥加密后传给h5，h5拿到后用对应的私钥解密后等到明文。这样保证在传输过程种用户的隐私数据不被泄露。
  常见的是：RSA、DSA
• 不可逆加密
  前面的对称、非对称加密都是可逆的，可以从密文得到明文。
  不可逆加密就是从一定意义上说从密文无论怎样都得不明文。
  常见的就是：MD5、SHA
  不可逆加密的一个好处是从密文得不到明文，相同明文加密后得到的密文是一样的。
  保存第一次加密后的密文，后面明文进行加密后的结果如果和保存的密文不一样，说明明文被篡改过了。

客户端加密验证实际案例

• 需求
  通过微信分享出去的url，用户点击后可以在浏览器打开app进入到对应页面。这时存在一个隐患，如果url被篡改了，本来点击url是打开app进入webview加载某一h5，变成打开webview加载登录页面。如果用户在这上面进行登录，账号和密码就被盗取了。非弱加密。
• 方案
  对分享出去的url进行加密然后验证。处于方便，就选择md5进行加密，把生成的签名当成额外参数放在url后面。然后用url打开app的时候同样进行md5校验，如果结果和额外参数一致则往后执行，否则return掉。
  当然也可以用rsa加密，公钥放在客户端、把私钥放在服务端。不过每次用url打开app都要去请求一次服务器，好像挺麻烦也挺耗时间的，就采用了纯客户端加密。
  而且要求用非弱加密，就选择了MD5。不然随便和ios统一一个简单的算法，比如BASE64或者length*length-10啥的也可以验证，哈哈。
• 说说md5
  md5具体算法不清楚，但是大概知道和hash算法有关。
  java提供了MessageDigest来帮助进行md5加密。得到的结果是长度128的byte[]。这时直接log出来是乱码的，需要转换成16进制的String，也就是长度32位的字符串。
  网上说的长度16位的md5其实也只是32位取的中间16位罢了，128位的二进制怎么可能转换成16位的16进制字符串嘛
• 需要注意的地方
  按照上面的过程好像可以加密以及验证了，但是有个问题是采用的不可逆加密方法MD5是公开的，如果有“不法分子”通过大量的测试发现规律了：url进行MD5然后添加在url后面。这样就可以通过同时修改url+后面的额外参数md5值来达到篡改url的目的，而且按照客户端的验证逻辑是可以通过的，因为url的md5值就是和参数一样的。
  仔细分析上面情况，发现完全由url（明文）进行md5加密是有bug的。那么我们就不能让它完全明文。在客户端保存一段字符串，比如“ajijijj”。每次加密或者验证的时候都让url加上这段扩展字段再进行md5加密校验，就可以避免上面的那种情况。
  当然如果客户端被去壳然后反编译拿到了那段“ajijijj”，也是相当于完全明文了。不过如果apk都被这样逆向了，其他的所有都不安全了吧！