你应该阅读这篇文章。在任何情况下，HMAC 都是首选。使用键控散列的方式暴露了散列算法的所有弱点。然而，HMAC 仍然是安全的，因为它的安全性依赖于对散列算法的不太强的假设。

请注意，计算哈希 HASH(KEY || MESSAGE) 的相反方式（与您打算这样做的 HASH (MESSAGE || KEY) 不同）被认为是完全不安全的，您可以在此处和此处阅读。

SHA-1 通常不会针对每种用例进行破坏。但是，它被认为对碰撞攻击提供的保护不足，这使得它不适合作为签名算法，例如在证书中。尽管它与您的用例相似（但不等于），但它仍然足够安全，可以在 HMAC中使用。

因此，我认为您方法中的 SHA-1 目前只能通过蛮力破解。由于 SHA-1 是一个旨在快速的哈希，您可以通过使用更长的密钥或使用设计为更慢的算法来强化您的附加参数。这两种方法都使暴力破解更加困难，因为攻击者需要更多时间来尝试所有可能的秘密。

此外，您应该使用真正的 HMAC，因为kaidentity在他的回答中指出， 因为最好使用经过验证的东西来发明自己的东西，特别是在涉及密码学的情况下。

在大密钥的情况下，知道参数但不知道密钥与不知道两者都没有太大区别，因为密钥中的任何额外位都会生成完全不同的 SHA。如果攻击者知道您的秘密附加密钥的长度，他可能会有一个小优势，但如果该密钥足够大，您就没有任何问题。如果密钥足够大，蛮力将是徒劳的尝试。

研究人员现在已经成功地对 SHA1 执行了碰撞攻击，这就是 MD5 死亡的原因

密码学家将周四披露的攻击称为“相同前缀”冲突，这意味着它允许攻击者创建两条具有相同哈希值的不同消息。这个变种没有Flame进行的“选择前缀”MD5碰撞那么强大。在后一种情况下，攻击者可以针对一个或多个现有文件，例如公司用来验证其更新机制的数字证书。尽管与 SHA1 的冲突没有那么强大，但密码学专家表示，任何现实世界的相同前缀攻击都代表了散列函数的游戏结束事件。

有一个专门用于攻击的网站

现在实际上可以制作两个冲突的 PDF 文件并在第一个 PDF 文件上获得 SHA-1 数字签名，该签名也可以被滥用为第二个 PDF 文件的有效签名。

换句话说，停止使用 SHA1