¿Cuál es la diferencia entre HMAC y un hash simple?

Un hash simple es determinista para cualquier entrada: cualquiera puede calcularlo. HMAC mezcla una clave secreta, así que sólo partes con la clave pueden producir una firma coincidente. Eso es lo que hace HMAC adecuado para autenticación, mientras que un hash simple sólo sirve para integridad.

¿Qué algoritmo debo elegir?

Usa HMAC-SHA256 a menos que el servicio con el que integras requiera explícitamente otra cosa. SHA-1 todavía es común en sistemas legados pero no debe usarse en diseños nuevos. SHA-512 es excesivo para la mayoría de casos pero ligeramente más conservador.

¿La clave debe ser una cadena o bytes?

HMAC toma una secuencia de bytes. Toova trata tu clave como texto UTF-8 por defecto, que es lo que hacen la mayoría de las API. Si la especificación dice "secreto codificado en hex", cambia el toggle de codificación de clave para que los bytes coincidan con lo que el servicio espera.

¿Se envía mi secreto a un servidor?

No. La firma ocurre enteramente en tu navegador. Tu secreto y mensaje nunca salen del dispositivo, y la pestaña Red permanecerá vacía durante la firma.

¿Por qué mi firma no coincide con lo que el servicio espera?

Lo más común: desajuste de codificación (hex vs Base64), salto de línea final en el payload o algoritmo incorrecto. Verifica que los tres coincidan exactamente con la documentación del servicio.

Generador HMAC — HMAC-SHA-256 y SHA-512 en línea

Generador HMAC (SHA-256, SHA-512)

Privacidad por diseño — se ejecuta completamente en tu navegador

Genera firmas HMAC-SHA256 (o SHA-1, SHA-512) a partir de un mensaje y una clave secreta, en tu navegador. Toova es la herramienta correcta para firmar payloads de webhook, solicitudes de API y cualquier flujo donde dos partes comparten un secreto y necesitan verificar autenticidad.

Para qué sirve HMAC

HMAC convierte un secreto compartido y un mensaje en una firma de longitud fija. El receptor, que también conoce el secreto, puede recalcular el HMAC y compararlo byte a byte: si las firmas coinciden, el mensaje es auténtico y no manipulado. Stripe, GitHub, Slack y casi cada sistema de webhook usan HMAC-SHA256 para firmar payloads y que el receptor pueda confiar en el origen.

Opciones de algoritmo y codificación

Toova soporta HMAC-SHA256, HMAC-SHA1 y HMAC-SHA512. SHA-256 es el predeterminado moderno. Elige el algoritmo que coincida con la documentación del servicio con el que integras. La salida es hex por defecto, con variantes Base64 y Base64-URL disponibles: la mayoría de proveedores de webhook esperan un formato específico, así que revisa sus docs antes de cambiar el toggle.

Firma sólo local

La firma se calcula enteramente en tu navegador. Tu mensaje y clave secreta nunca salen de la página. Eso importa porque el secreto es lo que permite a cualquiera forjar una firma válida: filtrarlo a un formulario de terceros comprometería el sistema. Toova es seguro para depurar webhooks de producción, validar firmas y explorar integraciones de API.

Preguntas frecuentes

¿Cuál es la diferencia entre HMAC y un hash simple?: Un hash simple es determinista para cualquier entrada: cualquiera puede calcularlo. HMAC mezcla una clave secreta, así que sólo partes con la clave pueden producir una firma coincidente. Eso es lo que hace HMAC adecuado para autenticación, mientras que un hash simple sólo sirve para integridad.
¿Qué algoritmo debo elegir?: Usa HMAC-SHA256 a menos que el servicio con el que integras requiera explícitamente otra cosa. SHA-1 todavía es común en sistemas legados pero no debe usarse en diseños nuevos. SHA-512 es excesivo para la mayoría de casos pero ligeramente más conservador.
¿La clave debe ser una cadena o bytes?: HMAC toma una secuencia de bytes. Toova trata tu clave como texto UTF-8 por defecto, que es lo que hacen la mayoría de las API. Si la especificación dice "secreto codificado en hex", cambia el toggle de codificación de clave para que los bytes coincidan con lo que el servicio espera.
¿Se envía mi secreto a un servidor?: No. La firma ocurre enteramente en tu navegador. Tu secreto y mensaje nunca salen del dispositivo, y la pestaña Red permanecerá vacía durante la firma.
¿Por qué mi firma no coincide con lo que el servicio espera?: Lo más común: desajuste de codificación (hex vs Base64), salto de línea final en el payload o algoritmo incorrecto. Verifica que los tres coincidan exactamente con la documentación del servicio.