Lewati ke konten
Toova
Semua Alat

Generator HMAC (SHA-256, SHA-512)

Privasi sejak awal — berjalan sepenuhnya di peramban Anda

Hasilkan tanda tangan HMAC-SHA256 (atau SHA-1, SHA-512) dari pesan dan kunci rahasia, di peramban Anda. Toova adalah alat yang tepat untuk menandatangani payload webhook, permintaan API, dan setiap alur tempat dua pihak berbagi rahasia dan perlu memverifikasi keaslian.

Untuk apa HMAC

HMAC mengubah rahasia bersama dan pesan menjadi tanda tangan panjang tetap. Penerima, yang juga mengetahui rahasia, dapat menghitung ulang HMAC dan membandingkannya byte demi byte — jika tanda tangan cocok, pesannya otentik dan tidak dirusak. Stripe, GitHub, Slack, dan hampir setiap sistem webhook menggunakan HMAC-SHA256 untuk menandatangani payload agar penerima dapat memercayai asalnya.

Opsi algoritma dan encoding

Toova mendukung HMAC-SHA256, HMAC-SHA1, dan HMAC-SHA512. SHA-256 adalah default modern. Pilih algoritma yang cocok dengan dokumentasi layanan yang Anda integrasikan. Keluaran dalam bentuk hex secara default, dengan varian Base64 dan Base64-URL tersedia — sebagian besar penyedia webhook mengharapkan format tertentu, jadi periksa dokumentasi mereka sebelum menggeser tombol.

Penandatanganan hanya lokal

Tanda tangan dihitung sepenuhnya di peramban Anda. Pesan dan kunci rahasia Anda tidak pernah meninggalkan halaman. Itu penting karena rahasia adalah yang memungkinkan siapa pun memalsukan tanda tangan yang valid — membocorkannya ke formulir pihak ketiga akan mengkompromikan sistem. Toova aman untuk men-debug webhook produksi, memvalidasi tanda tangan, dan mengeksplorasi integrasi API.

Pertanyaan yang Sering Diajukan

Apa perbedaan antara HMAC dan hash biasa?
Hash biasa bersifat deterministik untuk masukan apa pun — siapa pun dapat menghitungnya. HMAC mencampurkan kunci rahasia, sehingga hanya pihak dengan kunci yang dapat menghasilkan tanda tangan yang cocok. Itulah yang membuat HMAC cocok untuk autentikasi, sementara hash biasa hanya baik untuk integritas.
Algoritma mana yang harus saya pilih?
Gunakan HMAC-SHA256 kecuali layanan yang Anda integrasikan secara eksplisit membutuhkan yang lain. SHA-1 masih umum di sistem lama tetapi tidak boleh digunakan dalam desain baru. SHA-512 berlebihan untuk sebagian besar kasus penggunaan tetapi sedikit lebih konservatif.
Apakah kunci harus berupa string atau byte?
HMAC mengambil urutan byte. Toova memperlakukan kunci Anda sebagai teks UTF-8 secara default, yang cocok dengan apa yang dilakukan sebagian besar API. Jika spesifikasi mengatakan "rahasia yang di-encode hex", geser tombol key-encoding agar byte cocok dengan yang diharapkan layanan.
Apakah rahasia saya dikirim ke server?
Tidak. Penandatanganan terjadi sepenuhnya di peramban Anda. Rahasia dan pesan Anda tidak pernah meninggalkan perangkat, dan tab Network akan tetap kosong selama penandatanganan.
Mengapa tanda tangan saya tidak cocok dengan ekspektasi layanan?
Paling umum: ketidakcocokan encoding (hex vs Base64), baris baru di akhir payload, atau algoritma salah. Verifikasi ketiganya cocok persis dengan dokumentasi layanan.