Aller au contenu
Toova
Tous les outils

Générateur HMAC (SHA-256, SHA-512)

Conçu pour la confidentialité — fonctionne entièrement dans votre navigateur

Générez des signatures HMAC-SHA256 (ou SHA-1, SHA-512) à partir d'un message et d'une clé secrète, dans votre navigateur. Toova est l'outil idéal pour signer des charges utiles de webhooks, des requêtes API et tout flux où deux parties partagent un secret et doivent vérifier l'authenticité.

À quoi sert HMAC

HMAC transforme un secret partagé et un message en une signature de longueur fixe. Le récepteur, qui connaît également le secret, peut recalculer le HMAC et le comparer octet par octet — si les signatures correspondent, le message est authentique et non altéré. Stripe, GitHub, Slack et presque tous les systèmes de webhooks utilisent HMAC-SHA256 pour signer les charges utiles afin que le récepteur puisse en faire confiance à l'origine.

Options d'algorithme et d'encodage

Toova prend en charge HMAC-SHA256, HMAC-SHA1 et HMAC-SHA512. SHA-256 est la valeur par défaut moderne. Choisissez l'algorithme qui correspond à la documentation du service avec lequel vous intégrez. La sortie est en hexadécimal par défaut, avec les variantes Base64 et Base64-URL disponibles — la plupart des fournisseurs de webhooks attendent un format spécifique, vérifiez donc leur documentation avant de changer de bascule.

Signature locale uniquement

La signature est calculée entièrement dans votre navigateur. Votre message et votre clé secrète ne quittent jamais la page. C'est important car le secret est ce qui permet à quiconque de forger une signature valide — le divulguer à un formulaire tiers compromettrait le système. Toova est sûr pour déboguer les webhooks de production, valider les signatures et explorer les intégrations API.

Questions fréquentes

Quelle est la différence entre HMAC et un hachage simple ?
Un hachage simple est déterministe pour n'importe quelle saisie — n'importe qui peut le calculer. HMAC mélange une clé secrète, de sorte que seules les parties avec la clé peuvent produire une signature correspondante. C'est ce qui rend HMAC adapté à l'authentification, tandis qu'un hachage simple ne convient qu'à l'intégrité.
Quel algorithme dois-je choisir ?
Utilisez HMAC-SHA256 sauf si le service avec lequel vous intégrez en exige explicitement un autre. SHA-1 est encore courant dans les systèmes hérités mais ne devrait pas être utilisé dans de nouvelles conceptions. SHA-512 est excessif pour la plupart des cas d'usage mais légèrement plus conservateur.
La clé doit-elle être une chaîne ou des octets ?
HMAC prend une séquence d'octets. Toova traite votre clé comme du texte UTF-8 par défaut, ce qui correspond à ce que font la plupart des API. Si la spécification indique "secret encodé en hexadécimal", activez le bouton d'encodage de clé afin que les octets correspondent à ce que le service attend.
Mon secret est-il envoyé à un serveur ?
Non. La signature se fait entièrement dans votre navigateur. Votre secret et votre message ne quittent jamais l'appareil, et l'onglet Réseau restera vide pendant la signature.
Pourquoi ma signature ne correspond-elle pas à l'attente du service ?
Le plus souvent : incompatibilité d'encodage (hexadécimal vs Base64), retour à la ligne en fin de charge utile, ou mauvais algorithme. Vérifiez que les trois correspondent exactement à la documentation du service.