Генератор HMAC

Отладка подписей веб-хука и аутентификации API путем вычисления SHA-семейства HMAC из сообщения и секрета, с выходом hex или Base64.

Read the full guide: Введение в безопасность JWT: декодирование, проверка и распространенные ошибки →

Конфиденциальность: обрабатывается локально, никогда не загружается.

↓ Вставьте в область ввода ниже, чтобы мгновенно увидеть результаты

消息与密钥

输入消息和共享密钥,HMAC 会随内容实时更新。

密钥
算法
输出格式

Выход

HMAC 结果

0e8d0d54851504630d2d9d46e991b6c226f66812a81416f7d4ae95d5193e345e

Примечания

HMAC 说明

HMAC 用密钥对消息做认证摘要,常用于 API 签名与 Webhook 校验。密钥请勿泄露或硬编码在客户端。

Отладка подписей веб-хука и аутентификации API путем вычисления SHA-семейства HMAC из сообщения и секрета, с выходом hex или Base64.

Быстрый старт

  1. Введите сообщение и секрет

    Нет выхода, когда секрет пуст.

  2. Выбор алгоритма и формата

    Предпочитаем SHA-256; MD5/SHA-1 только для старых систем.

Общее использование

GitHub, Stripe и аналогичные веб-хуки используют HMAC для проверки целостности полезной нагрузки.

Типичный рабочий процесс

При разработке функций, требующих проверки целостности сообщений, генератор HMAC быстро проверяет совпадения подписей. Например, при получении веб-хуков скопируйте сырое сообщение и секретный ключ с сервера, сгенерируйте HMAC и сравните его с подписью в заголовке запроса для обнаружения манипуляции.

При отладке аутентификации API сначала сравните локально сгенерированный HMAC с примерами документации, чтобы подтвердить последовательность алгоритма. Затем замените данные теста, чтобы проверить ответы сервера. Это устраняет написание временных скриптов, что идеально подходит для быстрой отладки. Убедитесь, что секретный ключ соответствует аналогу, при этом SHA256 является наиболее распространенным алгоритмом.

Webhook verification

Stripe, GitHub, Slack sign raw bodies with HMAC-SHA256. Reproduce digests here—body must be byte-identical. json-formatter changes bodies; verify with raw bytes.

Secrets live in headers (X-Signature), not bodies. Leaked HMAC secrets enable forgery—rotate and audit.

Security

Never paste production webhook secrets into browser tools—use staging or fake keys.

Compare wrong-secret digests with hash-generator against official examples.

Примеры

Пример

Input

message=Towalles, secret=secret-key, SHA-256

Output

Hex digest

FAQ

Отличие от геш-генератора?

Хэши не имеют ключа; HMAC требует общего секрета для аутентифицированных дайджестов.

Почему HMAC отличается от результата сервера?

Частые причины: 1) несоответствие ключей (проверка пробелов/кодирования); 2) Различная обработка сообщений (например, перерывы строк); 3) расхождение алгоритма; 4) Формат выхода (Hex vs Base64 эквивалентны, но выглядят по-другому).

Which algorithms?

Common HMAC-SHA256/512—see tool UI options.

Hex or base64?

Follow integrator docs—Stripe often uses hex.

Sort JSON keys?

Only if docs require canonical JSON—most use raw body.

Secret uploaded?

No—local computation.