Vai al contenuto
Toova
Tutti gli strumenti

HMAC Generator (SHA-256, SHA-512)

Privacy by design — tutto gira nel tuo browser

Genera firme HMAC-SHA256 (o SHA-1, SHA-512) da un messaggio e una chiave segreta, nel browser. Toova è lo strumento giusto per firmare payload webhook, richieste API e qualsiasi flusso in cui due parti condividono un segreto e devono verificare l'autenticità.

A cosa serve HMAC

HMAC trasforma un segreto condiviso e un messaggio in una firma di lunghezza fissa. Il ricevitore, che conosce anch'esso il segreto, può ricalcolare l'HMAC e confrontarlo byte per byte — se le firme corrispondono, il messaggio è autentico e non alterato. Stripe, GitHub, Slack e quasi ogni sistema webhook usano HMAC-SHA256 per firmare i payload così il ricevitore può fidarsi dell'origine.

Opzioni di algoritmo e codifica

Toova supporta HMAC-SHA256, HMAC-SHA1 e HMAC-SHA512. SHA-256 è il default moderno e quello consigliato per ogni nuova integrazione. Scegli l'algoritmo che corrisponde esattamente alla documentazione del servizio con cui stai integrando. L'output è hex per default, con varianti Base64 e Base64-URL disponibili — la maggior parte dei provider webhook si aspetta un formato specifico, quindi controlla la loro documentazione prima di cambiare il toggle.

Firma solo locale

La firma viene calcolata interamente nel browser. Il tuo messaggio e la chiave segreta non lasciano mai la pagina. Questo conta perché il segreto è ciò che permette a chiunque di forgiare una firma valida — passarlo a un form di terze parti comprometterebbe il sistema. Toova è sicuro per fare debug di webhook di produzione, validare firme ed esplorare integrazioni API.

Domande frequenti

Qual è la differenza tra HMAC e un hash semplice?
Un hash semplice è deterministico per qualsiasi input — chiunque può calcolarlo. HMAC mescola una chiave segreta, così solo le parti con la chiave possono produrre una firma corrispondente. È questo che rende HMAC adatto per l'autenticazione, mentre un hash semplice è utile solo per l'integrità.
Quale algoritmo dovrei scegliere?
Usa HMAC-SHA256 a meno che il servizio con cui integri non richieda esplicitamente qualcos'altro. SHA-1 è ancora comune nei sistemi legacy ma non dovrebbe essere usato nei nuovi design. SHA-512 è eccessivo per la maggior parte dei casi d'uso ma leggermente più conservativo.
La chiave dovrebbe essere una stringa o byte?
HMAC accetta una sequenza di byte. Toova tratta la tua chiave come testo UTF-8 per default, che è quello che fanno la maggior parte delle API. Se la specifica dice "segreto codificato hex", attiva il toggle di codifica chiave così i byte corrispondono a quello che il servizio si aspetta.
Il mio segreto viene inviato a un server?
No. La firma avviene interamente nel browser. Il segreto e il messaggio non lasciano mai il dispositivo, e la scheda Rete resterà vuota durante la firma.
Perché la mia firma non corrisponde all'aspettativa del servizio?
Il più comune: mancata corrispondenza di codifica (hex vs Base64), newline finale nel payload, o algoritmo sbagliato. Verifica che tutti e tre corrispondano esattamente alla documentazione del servizio.