Ir para o conteúdo
Toova
Todas as Ferramentas

Gerador HMAC (SHA-256, SHA-512)

Privado por design — roda inteiramente no seu navegador

Gere assinaturas HMAC-SHA256 (ou SHA-1, SHA-512) a partir de uma mensagem e uma chave secreta, no seu navegador. A Toova é a ferramenta certa para assinar payloads de webhook, requisições de API e qualquer fluxo em que duas partes compartilham um segredo e precisam verificar autenticidade.

Para que serve o HMAC

O HMAC transforma um segredo compartilhado e uma mensagem em uma assinatura de tamanho fixo. O receptor, que também conhece o segredo, pode recomputar o HMAC e compará-lo byte a byte — se as assinaturas coincidirem, a mensagem é autêntica e não foi adulterada. Stripe, GitHub, Slack e praticamente todo sistema de webhook usam HMAC-SHA256 para assinar payloads, permitindo que o receptor confie na origem.

Opções de algoritmo e codificação

A Toova suporta HMAC-SHA256, HMAC-SHA1 e HMAC-SHA512. SHA-256 é o padrão moderno. Escolha o algoritmo que corresponde à documentação do serviço que você está integrando. A saída é hexadecimal por padrão, com variantes Base64 e Base64-URL disponíveis — a maioria dos provedores de webhook espera um formato específico, então verifique a documentação deles antes de mudar o botão.

Assinatura somente local

A assinatura é computada inteiramente no seu navegador. Sua mensagem e chave secreta nunca saem da página. Isso importa porque o segredo é o que permite a qualquer um forjar uma assinatura válida — vazá-lo para um formulário de terceiros comprometeria o sistema. A Toova é segura para depurar webhooks de produção, validar assinaturas e explorar integrações de API.

Perguntas Frequentes

Qual é a diferença entre HMAC e um hash simples?
Um hash simples é determinístico para qualquer entrada — qualquer um pode calculá-lo. O HMAC mistura uma chave secreta, então somente partes com a chave podem produzir uma assinatura correspondente. É isso que torna o HMAC adequado para autenticação, enquanto um hash simples serve apenas para integridade.
Qual algoritmo devo escolher?
Use HMAC-SHA256 a menos que o serviço que você integra exija explicitamente outra coisa. SHA-1 ainda é comum em sistemas legados, mas não deve ser usado em novos projetos. SHA-512 é excessivo para a maioria dos casos de uso, mas ligeiramente mais conservador.
A chave deve ser uma string ou bytes?
HMAC recebe uma sequência de bytes. A Toova trata sua chave como texto UTF-8 por padrão, que é o que a maioria das APIs faz. Se a especificação diz "segredo codificado em hexadecimal", mude o botão de codificação da chave para que os bytes correspondam ao que o serviço espera.
Meu segredo é enviado a um servidor?
Não. A assinatura acontece inteiramente no seu navegador. Seu segredo e mensagem nunca saem do dispositivo, e a aba Rede ficará vazia durante a assinatura.
Por que minha assinatura não corresponde à expectativa do serviço?
O mais comum: incompatibilidade de codificação (hexadecimal vs Base64), quebra de linha no final do payload ou algoritmo errado. Verifique se os três correspondem exatamente à documentação do serviço.