Перейти к содержимому
Toova
Все инструменты

Генератор HMAC (SHA-256, SHA-512)

Приватность по умолчанию — работает полностью в вашем браузере

Генерируйте подписи HMAC-SHA256 (или SHA-1, SHA-512) из сообщения и секретного ключа в браузере. Toova — правильный инструмент для подписи вебхук-данных, API-запросов и любых потоков, где две стороны разделяют секрет и должны проверять подлинность.

Для чего HMAC

HMAC превращает общий секрет и сообщение в подпись фиксированной длины. Получатель, который тоже знает секрет, может пересчитать HMAC и сравнить побайтово: если подписи совпадают, сообщение подлинно и не изменено. Stripe, GitHub, Slack и почти каждая вебхук-система используют HMAC-SHA256 для подписи данных, чтобы получатель мог доверять источнику.

Опции алгоритма и кодировки

Toova поддерживает HMAC-SHA256, HMAC-SHA1 и HMAC-SHA512. SHA-256 — современный стандарт. Выбирайте алгоритм, соответствующий документации интегрируемого сервиса. По умолчанию вывод в шестнадцатеричном формате, доступны варианты Base64 и Base64-URL — большинство вебхук-провайдеров ожидают конкретный формат, поэтому проверьте их документацию перед изменением настройки.

Подписание только локально

Подпись вычисляется полностью в вашем браузере. Ваше сообщение и секретный ключ никогда не покидают страницу. Это важно, потому что секрет позволяет кому угодно создавать действительные подписи — его утечка в стороннюю форму скомпрометирует всю систему. Toova безопасен для отладки продакшн-вебхуков, проверки подписей и изучения API-интеграций.

Часто задаваемые вопросы

В чём разница между HMAC и обычным хешем?
Обычный хеш детерминирован для любого ввода: его может вычислить кто угодно. HMAC добавляет секретный ключ, поэтому только стороны с ключом могут создать совпадающую подпись. Именно это делает HMAC пригодным для аутентификации, тогда как обычный хеш годится только для проверки целостности.
Какой алгоритм выбрать?
Используйте HMAC-SHA256, если сервис явно не требует другого. SHA-1 всё ещё встречается в устаревших системах, но не должен применяться в новых разработках. SHA-512 избыточен для большинства случаев, но чуть более консервативен.
Ключ должен быть строкой или байтами?
HMAC принимает байтовую последовательность. По умолчанию Toova обрабатывает ваш ключ как текст в UTF-8, что соответствует поведению большинства API. Если спецификация говорит «секрет в шестнадцатеричном виде», переключите режим кодировки ключа, чтобы байты соответствовали ожиданиям сервиса.
Отправляется ли мой секрет на сервер?
Нет. Подписание происходит полностью в вашем браузере. Ваш секрет и сообщение никогда не покидают устройство, вкладка «Сеть» останется пустой при подписании.
Почему моя подпись не совпадает с ожидаемой сервисом?
Чаще всего: несовпадение кодировки (шестнадцатеричный vs Base64), завершающий перенос строки в данных или неправильный алгоритм. Убедитесь, что все три параметра точно соответствуют документации сервиса.