Java加密解密库与MessageDigest使用解析

在IT行业这个发展更新速度很快的行业，只有不停止的学习，才不会被行业所淘汰。如果你是文章学习者，那么本文《Java加密解密类库及MessageDigest详解》就很适合你！本篇内容主要包括##content_title##，希望对大家的知识积累有所帮助，助力实战开发！

Java中MessageDigest生成SHA-256哈希结果长度不对，因digest()返回字节数组而非十六进制字符串，需用String.format或Hex.encodeHexString转换并补零至64位；实例不可复用，须reset()后才能再次update；字符串输入必须指定UTF_8编码。

Java里用MessageDigest做SHA-256哈希，为什么每次结果长度不对？

因为MessageDigest.digest()返回的是原始字节数组，不是十六进制字符串。直接toString()只会得到类似[B@1a2b3c的引用地址，而非预期的64位SHA-256哈希值。

• 正确做法是用String.format()或Hex.encodeHexString()（来自Apache Commons Codec）转为十六进制字符串
• 注意：MessageDigest实例**不能复用**——调用digest()后内部状态已重置，再次update()前必须reset()
• 如果输入是字符串，务必显式指定字符集，例如str.getBytes(StandardCharsets.UTF_8)，避免平台默认编码差异导致哈希不一致

MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update("hello".getBytes(StandardCharsets.UTF_8));
byte[] digest = md.digest();
String hex = String.format("%064x", new BigInteger(1, digest)); // 注意补零到64位

javax.crypto.Cipher和Bouncy Castle的AES加解密，密钥长度报错怎么办？

常见错误是java.security.InvalidKeyException: Illegal key size，本质是JDK默认策略限制AES-256等强加密算法。OpenJDK 17+已默认启用无限制策略，但旧版JDK（如8u161之前）仍需手动解决。

• 最稳妥方式：升级到JDK 17+，无需额外配置
• 若必须用旧JDK，可下载并安装local_policy.jar和US_export_policy.jar（Oracle JDK）或使用Security.setProperty("crypto.policy", "unlimited")（仅对部分版本有效）
• Bouncy Castle作为Provider需显式注册：Security.addProvider(new BouncyCastleProvider())，且Cipher.getInstance("AES/GCM/NoPadding", "BC")中"BC"必须匹配Provider名称

Base64编解码该用哪个类？sun.misc.BASE64Encoder已废弃

sun.misc.*系列类在JDK 9+中被移除，且从未是公开API。必须改用标准替代方案。

• JDK 8+ 直接用java.util.Base64：线程安全、无需引入第三方，支持getEncoder()/getDecoder()及URL安全变种
• 若项目已依赖Apache Commons Codec，可用Base64.encodeBase64String()，但注意其默认换行（encodeBase64(bytes, false)禁用）
• 不要用javax.xml.bind.DatatypeConverter.printBase64Binary()——JAXB在JDK 11中已彻底移除

String encoded = Base64.getEncoder().encodeToString("data".getBytes());
byte[] decoded = Base64.getDecoder().decode(encoded);

MD5和SHA-1还能用吗？MessageDigest.getInstance()传错算法名会怎样？

传入非法算法名（如"SHA-256 "带空格、"sha256"小写）会抛NoSuchAlgorithmException；而MD5/SHA-1虽仍能运行，但已不适用于安全敏感场景。

• MD5存在碰撞攻击，SHA-1已被证实不安全，NIST早在2011年就建议停用
• 生产环境应优先选SHA-2家族："SHA-256"、"SHA-384"、"SHA-512"；SHA-3（"SHA3-256"）需JDK 11+或Bouncy Castle支持
• 算法名区分大小写且严格匹配，推荐从MessageDigest.getAlgorithm()确认实际加载的名称

真正容易被忽略的是：哈希本身不等于加密——它不可逆，也不防重放。需要保密性时，必须搭配对称/非对称加密，而不是只靠MessageDigest。

到这里，我们也就讲完了《Java加密解密库与MessageDigest使用解析》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！