用途

HMAC 算法主要用于身份验证，用法如下：

1. 客户端发出登陆请求
2. 服务器返回一个随机值，在会话中保存这个随机值
3. 客户端将该随机值作为密钥，用户密码进行hmac运算，递交给服务器
4. 服务器读取数据库中的用户、密码，利用密钥做和客户端一样的hmac运算，然后与用户发送的结果比较，如果一致，则用户身份合法

好处是，即使黑客截获了我们发送的数据，也只是能得到hmac加密过后的结果，由于不知道密钥，根本不可能获取到用户密码，从而保证了安全性。

HMAC的种类

算法种类                摘要长度HmacMD5                 128HmacSHA1                160HmacSHA256              256HmacSHA384              384HmacSHA512              512

HMAC的使用

如果要使用HMAC算法，需要生成一个密钥。

比如可以用JDK 自带的keyGenerator。

public static byte[] getSecretKey() throws Exception {        KeyGenerator keyGenerator = KeyGenerator.getInstance("HmacMD5"); // 可填入 HmacSHA1，HmacSHA256 等        SecretKey key = keyGenerator.generateKey();                byte[] keyBytes = key.getEncoded();        return keyBytes;    }

得到密钥后，就可以执行消息摘要算法。

public static String encryptHmac(byte[] key, byte[] data) throws Exception {    SecretKey secretKey = new SecretKeySpec(key, "HmacMD5");    Mac mac = Mac.getInstance("HmacMD5");    mac.init(secretKey);    byte[] resultBytes = mac.doFinal(data);    String resultString = byteToHexString(resultBytes);    return resultString;}

参考：

http://www.jianshu.com/p/3fe2add1eb42