Genera un HMAC para un mensaje y una clave secreta con SHA-1, SHA-256, SHA-384 o SHA-512, en tu navegador.
Cómo usar HMAC
Elige un algoritmo de hash.
Introduce tu clave secreta y el mensaje.
Copia el HMAC, mostrado como digest hexadecimal.
Un generador de HMAC que firma un mensaje con una clave secreta usando SHA-1, SHA-256, SHA-384 o SHA-512, y muestra el resultado como un digest hexadecimal. Elige un algoritmo, introduce la clave y el mensaje, y copia la firma.
HMAC significa código de autenticación de mensajes basado en hash. Es un hash con clave: combinar una clave secreta con el mensaje demuestra dos cosas a la vez, que el mensaje fue creado por alguien que posee la clave, y que no ha sido alterado en tránsito.
La diferencia con un hash simple es la clave. Cualquiera puede calcular un SHA-256 de un mensaje, pero solo alguien con el secreto compartido puede producir el HMAC correcto, que es lo que convierte una suma de verificación en una prueba de autenticidad.
Por eso está en todas partes en la infraestructura web. Los webhooks de servicios como Stripe, GitHub y Slack firman cada petición con un HMAC para que tu servidor pueda verificar que la llamada procede realmente de ellos, y muchas APIs firman las peticiones de la misma manera.
SHA-256 es el valor predeterminado habitual; SHA-384 y SHA-512 son más fuertes, mientras que SHA-1 es heredado y es mejor evitarlo en sistemas nuevos.
Se ejecuta localmente con la Web Crypto API, así que tu clave y tu mensaje nunca se suben, lo cual es importante ya que la clave es un secreto.
Preguntas frecuentes
Un hash con clave que demuestra que un mensaje lo creó alguien que tiene la clave secreta y que no se ha alterado. Se usa ampliamente para firmar solicitudes de API y webhook.
No. El HMAC se calcula en tu navegador con la Web Crypto API, así que la clave y el mensaje nunca salen de tu dispositivo.
SHA-256 es el valor predeterminado habitual. SHA-384 y SHA-512 son más fuertes; SHA-1 es heredado y conviene evitarlo en sistemas nuevos.
Un hash normal lo puede calcular cualquiera. El HMAC mezcla una clave secreta, así que solo alguien con la clave puede producir el valor correcto, lo que demuestra autenticidad, no solo integridad.
El remitente firma el cuerpo de cada solicitud con un secreto compartido e incluye el HMAC en una cabecera. Tu servidor vuelve a calcular el HMAC y lo compara, confirmando que la solicitud es genuina y no se ha modificado.
Insertar esta herramienta
Añade esta herramienta a tu propio sitio web. Copia el fragmento de abajo. Se mantiene actualizado automáticamente.
<iframe src="https://monu.tools/embed/es/hmac-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Herramientas relacionadas
Codifica texto a Base64 o decodifica Base64 a texto. Seguro con UTF-8 y con detección automática del sentido.
Codifica y decodifica URLs y componentes de URL con codificación porcentual, seguro con UTF-8.
Decodifica un JSON Web Token para inspeccionar su cabecera y payload, con horas de emisión y caducidad legibles. Se ejecuta por completo en tu navegador; los tokens nunca se suben.
Genera hashes SHA-1, SHA-256, SHA-384 y SHA-512 de cualquier texto, directamente en tu navegador.