Golang实现MD5加密方法详解

本篇文章给大家分享《Golang使用crypto/md5生成MD5加密方法》，覆盖了Golang的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

crypto/md5.Sum() 返回 md5.Sum 类型（底层 [16]byte），而 md5.New().Sum(nil) 返回 []byte；前者已弃用，推荐后者流式计算并用 hex.EncodeToString 转 32 字符小写十六进制字符串。

crypto/md5.Sum() 和 md5.Sum() 返回值的区别

Go 的 crypto/md5 包不提供直接返回字符串的函数，最常用的是 md5.Sum()，它返回一个 [16]byte 类型的值（即 128 位），不是字符串也不是 []byte。很多人误以为 sum[:] 就是结果，其实那是切片视图，而 sum 本身才是紧凑的固定长度哈希值。

• md5.Sum(data) 返回 md5.Sum 类型，底层是 [16]byte；调用 sum[:] 得到 []byte，fmt.Sprintf("%x", sum) 或 hex.EncodeToString(sum[:]) 才能转成小写十六进制字符串
• 别对空切片反复调用 md5.Sum() —— 它不累加，每次都是独立计算；需要增量计算请用 md5.New()
• 注意：Go 1.22+ 中 md5.Sum 已被标记为 deprecated，推荐统一用 md5.New() + Write() + Sum(nil) 流式写法

用 md5.New() 增量计算文件或大字节流

处理文件、HTTP body 或其他不可一次性加载进内存的数据时，必须用 hash.Hash 接口方式：先 md5.New() 创建 hasher，再分块 Write()，最后 Sum(nil) 获取结果。这是唯一支持流式计算的路径。

• Sum(nil) 的参数是用于追加的底层数组，传 nil 表示新建一个；返回值是 []byte，长度恒为 16
• 不要在 Sum() 后继续 Write() —— Go 的 hash 实现不保证 reset 行为，应重新 md5.New()
• 若需多次复用 hasher，可用 Reset() 方法清空状态，但要注意它不会重置内部 salt 或 key（MD5 本身无 salt）

h := md5.New()
h.Write([]byte("hello"))
h.Write([]byte("world"))
sum := h.Sum(nil) // []byte{0x5e, 0xb6, 0x3b, ...}
fmt.Printf("%x\n", sum) // "5eb63bbbe01eeed093cb22bb8f5acdc3"

生成标准 32 字符小写十六进制 MD5 字符串

几乎所有外部系统（如数据库校验、API 签名）都要求 32 字符的十六进制字符串，而非原始字节。Go 没有内置快捷函数，必须手动编码。优先用 encoding/hex 而非 fmt.Sprintf，前者更明确、无格式错误风险。

• hex.EncodeToString(md5.Sum(data)[:]) 是常见写法，但注意 Sum() 已弃用；新代码应统一走 Sum(nil) 路径
• 避免 fmt.Sprintf("%x", md5.Sum(data)) —— 它依赖 fmt 对数组的实现，虽当前有效但属隐式行为，可读性差
• 若需大写（如某些旧协议），用 strings.ToUpper(hex.EncodeToString(...))，别用 %X —— %X 对数组输出不一致

data := []byte("test")
h := md5.New()
h.Write(data)
sum := h.Sum(nil)
md5Str := hex.EncodeToString(sum) // "098f6bcd4621d373cade4e832627b4f6"

为什么 crypto/md5 不推荐用于安全场景

crypto/md5 在 Go 标准库中仍保留，仅因兼容性和非密码学用途（如文件完整性校验、缓存键生成）。它**不能**用于密码哈希、签名或任何需要抗碰撞性/原像抵抗的场合。

• MD5 已被证实存在实际碰撞攻击，2008 年就有公开工具可在秒级生成不同内容但相同 MD5 的 PDF 文件
• Go 的 golang.org/x/crypto 子模块里没有“增强版 MD5”——这不是 Go 的问题，而是算法本身已淘汰
• 替代方案：密码哈希用 golang.org/x/crypto/bcrypt 或 scrypt；数字签名用 crypto/sha256 + rsa；简单校验用 sha256 更稳妥

真正容易被忽略的是：项目里搜 md5.Sum 可能只改了调用方式，但没动业务逻辑假设 —— 比如把 MD5 当作唯一 ID 或权限凭证，这种设计本身就需要重构。

理论要掌握，实操不能落！以上关于《Golang实现MD5加密方法详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！