Zum Inhalt springen
Toova
Alle Werkzeuge

HMAC-Generator (SHA-256, SHA-512)

Datenschutz by Design — läuft vollständig in Ihrem Browser

Generieren Sie HMAC-SHA256- (oder SHA-1-, SHA-512-) Signaturen aus einer Nachricht und einem geheimen Schlüssel, im Browser. Toova ist das richtige Werkzeug für die Signierung von Webhook-Payloads, API-Anfragen und jeden Ablauf, bei dem zwei Parteien ein Geheimnis teilen und die Authentizität verifizieren müssen.

Wofür HMAC verwendet wird

HMAC wandelt ein gemeinsames Geheimnis und eine Nachricht in eine Signatur fester Länge um. Der Empfänger, der ebenfalls das Geheimnis kennt, kann den HMAC neu berechnen und byteweise vergleichen – wenn die Signaturen übereinstimmen, ist die Nachricht authentisch und unverändert. Stripe, GitHub, Slack und nahezu jedes Webhook-System verwenden HMAC-SHA256, um Payloads zu signieren, damit der Empfänger den Ursprung vertrauen kann.

Algorithmus- und Kodierungsoptionen

Toova unterstützt HMAC-SHA256, HMAC-SHA1 und HMAC-SHA512. SHA-256 ist der moderne Standard. Wählen Sie den Algorithmus, der der Dokumentation des Dienstes entspricht, mit dem Sie integrieren. Die Ausgabe ist standardmäßig Hex, mit verfügbaren Base64- und Base64-URL-Varianten – die meisten Webhook-Anbieter erwarten ein bestimmtes Format, also prüfen Sie deren Dokumentation, bevor Sie den Schalter umstellen.

Signierung nur lokal

Die Signatur wird vollständig im Browser berechnet. Ihre Nachricht und Ihr geheimer Schlüssel verlassen die Seite nicht. Das ist wichtig, weil der Schlüssel derjenige ist, der es jedem ermöglicht, eine gültige Signatur zu fälschen – ihn an ein Drittanbieterformular weiterzugeben würde das System kompromittieren. Toova ist sicher für das Debuggen von Produktions-Webhooks, die Validierung von Signaturen und die Untersuchung von API-Integrationen.

Häufig gestellte Fragen

Was ist der Unterschied zwischen HMAC und einem einfachen Hash?
Ein einfacher Hash ist für jede Eingabe deterministisch – jeder kann ihn berechnen. HMAC mischt einen geheimen Schlüssel ein, sodass nur Parteien mit dem Schlüssel eine übereinstimmende Signatur erzeugen können. Das macht HMAC für die Authentifizierung geeignet, während ein einfacher Hash nur für die Integritätsprüfung gut ist.
Welchen Algorithmus soll ich wählen?
Verwenden Sie HMAC-SHA256, es sei denn, der Dienst, mit dem Sie integrieren, erfordert ausdrücklich etwas anderes. SHA-1 ist in Legacy-Systemen noch verbreitet, sollte aber in neuen Designs nicht verwendet werden. SHA-512 ist für die meisten Anwendungsfälle überdimensioniert, aber etwas konservativer.
Soll der Schlüssel eine Zeichenkette oder Bytes sein?
HMAC nimmt eine Bytesequenz. Toova behandelt Ihren Schlüssel standardmäßig als UTF-8-Text, was dem entspricht, was die meisten APIs tun. Wenn die Spezifikation 'hex-kodiertes Geheimnis' angibt, schalten Sie den Schlüsselkodierungs-Schalter um, damit die Bytes dem übereinstimmen, was der Dienst erwartet.
Wird mein Geheimnis an einen Server gesendet?
Nein. Das Signieren erfolgt vollständig im Browser. Ihr Geheimnis und Ihre Nachricht verlassen das Gerät nicht, und der Netzwerk-Tab bleibt während des Signierens leer.
Warum stimmt meine Signatur nicht mit der Erwartung des Dienstes überein?
Am häufigsten: Kodierungsabweichung (Hex vs. Base64), abschließender Zeilenumbruch im Payload oder falscher Algorithmus. Prüfen Sie, ob alle drei genau mit der Dienstdokumentation übereinstimmen.