HMAC-Generator

Debug von Webhook-Signaturen und API-Authentifizierung durch Berechnung von SHA-Familie HMAC aus Nachricht und Geheimnis, mit Hex- oder Base64-Ausgang.

Read the full guide: JWT Sicherheitsgrundlagen: Dekodieren, Verifizieren und häufige Fehler →

Datenschutz: lokal verarbeitet, nie hochgeladen.

↓ Fügen Sie in den Eingabebereich unten, um sofort Ergebnisse zu sehen

消息与密钥

输入消息和共享密钥,HMAC 会随内容实时更新。

密钥
算法
输出格式

Ausgang

HMAC 结果

0e8d0d54851504630d2d9d46e991b6c226f66812a81416f7d4ae95d5193e345e

Hinweise

HMAC 说明

HMAC 用密钥对消息做认证摘要,常用于 API 签名与 Webhook 校验。密钥请勿泄露或硬编码在客户端。

Debug von Webhook-Signaturen und API-Authentifizierung durch Berechnung von SHA-Familie HMAC aus Nachricht und Geheimnis, mit Hex- oder Base64-Ausgang.

Schnellstart

  1. Geben Sie Nachricht und Geheimnis ein

    Keine Ausgabe, wenn Geheimnis leer ist.

  2. Algorithmus und Format auswählen

    Bevorzugt SHA-256; MD5/SHA-1 nur für ältere Systeme.

Allgemeine Anwendungen

GitHub, Stripe und ähnliche Webhooks verwenden HMAC, um die Nutzlast-Integrität zu überprüfen.

Typischer Workflow

Bei der Entwicklung von Funktionen, die eine Nachrichtenintegritätsprüfung erfordern, validiert der HMAC-Generator schnell Signaturübereinstimmungen. Beispielsweise kopieren Sie beim Empfang von Webhooks die Rohnachricht und den geheimen Schlüssel vom Server, generieren Sie den HMAC und vergleichen Sie ihn mit der Signatur im Anforderungskopf, um Manipulationen zu erkennen.

Wenn Sie die API-Authentifizierung debuggen, vergleichen Sie zuerst lokal generierte HMAC mit Dokumentationsbeispielen, um die Algorithmuskonsistenz zu bestätigen. Ersetzen Sie dann Ihre Testdaten, um die Server-Antworten zu überprüfen. Dies eliminiert das Schreiben von temporären Skripten, ideal für schnelle Debugging. Stellen Sie sicher, dass der geheime Schlüssel dem Gegenteil entspricht, wobei SHA256 der häufigste Algorithmus ist.

Webhook verification

Stripe, GitHub, Slack sign raw bodies with HMAC-SHA256. Reproduce digests here—body must be byte-identical. json-formatter changes bodies; verify with raw bytes.

Secrets live in headers (X-Signature), not bodies. Leaked HMAC secrets enable forgery—rotate and audit.

Security

Never paste production webhook secrets into browser tools—use staging or fake keys.

Compare wrong-secret digests with hash-generator against official examples.

Beispiele

Beispiel

Input

message=Towalles, secret=secret-key, SHA-256

Output

Hex digest

FAQ

Unterschied zum Hash Generator?

Hashes haben keinen Schlüssel. HMAC erfordert ein gemeinsames Geheimnis für authentifizierte Digests.

Warum unterscheidet sich das HMAC vom Ergebnis des Servers?

Häufige Ursachen: 1) Schlüsselverschiedenheit (Überprüfung auf Leerzeichen/Codierung); 2) Unterschiedliche Nachrichtenverarbeitung (z.B. Zeilenpause); 3) Algorithmus-Diskrepanz; 4) Ausgabeformat (Hex vs Base64 sind gleichwertig, sehen aber anders aus).

Which algorithms?

Common HMAC-SHA256/512—see tool UI options.

Hex or base64?

Follow integrator docs—Stripe often uses hex.

Sort JSON keys?

Only if docs require canonical JSON—most use raw body.

Secret uploaded?

No—local computation.