ما الفرق بين HMAC والتجزئة العادية؟

التجزئة العادية حتمية لأي مدخل — يمكن لأي شخص حسابها. يخلط HMAC مفتاحًا سريًا، لذا يمكن فقط للأطراف التي تمتلك المفتاح إنتاج توقيع مطابق. هذا ما يجعل HMAC مناسبًا للمصادقة، بينما التجزئة العادية صالحة فقط للسلامة.

أيّ خوارزمية يجب أن أختار؟

استخدم HMAC-SHA256 ما لم تتطلب الخدمة التي تتكامل معها شيئًا آخر صراحةً. SHA-1 لا يزال شائعًا في الأنظمة القديمة لكن لا ينبغي استخدامه في التصاميم الجديدة. SHA-512 مبالغ فيه لمعظم حالات الاستخدام لكنه أكثر تحفظًا بقليل.

هل يجب أن يكون المفتاح سلسلة أم بايتات؟

HMAC يأخذ تسلسل بايتات. تعامل Toova مفتاحك كنص UTF-8 افتراضيًا، وهو ما تفعله معظم واجهات برمجة التطبيقات. إذا قالت المواصفات "سر مُرمَّز سداسيًا"، اقلب خيار ترميز المفتاح لتطابق البايتات ما تتوقعه الخدمة.

هل يُرسَل سري إلى خادم؟

لا. التوقيع يحدث بالكامل في متصفحك. سرك ورسالتك لا يغادران الجهاز، وتبويب الشبكة سيبقى فارغًا أثناء التوقيع.

لماذا لا يطابق توقيعي ما تتوقعه الخدمة؟

الأكثر شيوعًا: عدم تطابق الترميز (سداسي مقابل Base64) أو سطر جديد زائد في الحمولة أو خوارزمية خاطئة. تحقق من تطابق الثلاثة جميعًا مع وثائق الخدمة بدقة.

مولِّد HMAC — HMAC-SHA-256 وSHA-512 عبر الإنترنت

أنشئ توقيعات HMAC-SHA256 (أو SHA-1 أو SHA-512) من رسالة ومفتاح سري في متصفحك. Toova هي الأداة المناسبة لتوقيع حمولات الـ webhook وطلبات واجهات برمجة التطبيقات وأي تدفق تتشارك فيه طرفان سرًا ويحتاجان إلى التحقق من الأصالة.

ما هو HMAC وماذا يُستخدم

يحوّل HMAC سرًا مشتركًا ورسالةً إلى توقيع بطول ثابت. يمكن للمستقبِل الذي يعرف السر أيضًا إعادة حساب HMAC ومقارنته بايتًا بايت — إذا تطابق التوقيعان، فالرسالة أصيلة وغير مخالفة. تستخدم Stripe وGitHub وSlack وكل نظام webhook تقريبًا HMAC-SHA256 لتوقيع الحمولات ليثق المستقبِل في المصدر.

خيارات الخوارزمية والترميز

تدعم Toova HMAC-SHA256 وHMAC-SHA1 وHMAC-SHA512. SHA-256 هو الافتراضي الحديث. اختر الخوارزمية التي تطابق وثائق الخدمة التي تتكامل معها. المخرج سداسي عشري افتراضيًا مع متغيرات Base64 وBase64-URL متاحة — معظم مزودي webhook يتوقعون شكلًا محددًا، لذا تحقق من وثائقهم قبل تبديل الخيار.

توقيع محلي فقط

يُحسَب التوقيع بالكامل في متصفحك. رسالتك ومفتاحك السري لا يغادران الصفحة. يهمّ هذا لأن السر هو ما يسمح لأي شخص بتزوير توقيع صالح — تسريبه لنموذج طرف ثالث سيُهدّد النظام. Toova آمنة لتصحيح webhooks الإنتاجية والتحقق من التوقيعات واستكشاف تكاملات واجهات برمجة التطبيقات.

الأسئلة الشائعة

ما الفرق بين HMAC والتجزئة العادية؟: التجزئة العادية حتمية لأي مدخل — يمكن لأي شخص حسابها. يخلط HMAC مفتاحًا سريًا، لذا يمكن فقط للأطراف التي تمتلك المفتاح إنتاج توقيع مطابق. هذا ما يجعل HMAC مناسبًا للمصادقة، بينما التجزئة العادية صالحة فقط للسلامة.
أيّ خوارزمية يجب أن أختار؟: استخدم HMAC-SHA256 ما لم تتطلب الخدمة التي تتكامل معها شيئًا آخر صراحةً. SHA-1 لا يزال شائعًا في الأنظمة القديمة لكن لا ينبغي استخدامه في التصاميم الجديدة. SHA-512 مبالغ فيه لمعظم حالات الاستخدام لكنه أكثر تحفظًا بقليل.
هل يجب أن يكون المفتاح سلسلة أم بايتات؟: HMAC يأخذ تسلسل بايتات. تعامل Toova مفتاحك كنص UTF-8 افتراضيًا، وهو ما تفعله معظم واجهات برمجة التطبيقات. إذا قالت المواصفات "سر مُرمَّز سداسيًا"، اقلب خيار ترميز المفتاح لتطابق البايتات ما تتوقعه الخدمة.
هل يُرسَل سري إلى خادم؟: لا. التوقيع يحدث بالكامل في متصفحك. سرك ورسالتك لا يغادران الجهاز، وتبويب الشبكة سيبقى فارغًا أثناء التوقيع.
لماذا لا يطابق توقيعي ما تتوقعه الخدمة؟: الأكثر شيوعًا: عدم تطابق الترميز (سداسي مقابل Base64) أو سطر جديد زائد في الحمولة أو خوارزمية خاطئة. تحقق من تطابق الثلاثة جميعًا مع وثائق الخدمة بدقة.

مولِّد HMAC (SHA-256، SHA-512)

ما هو HMAC وماذا يُستخدم

خيارات الخوارزمية والترميز

توقيع محلي فقط

الأسئلة الشائعة