Monu Tools

Générateur HMAC

Générez un HMAC pour un message et une clé secrète en utilisant SHA-1, SHA-256, SHA-384 ou SHA-512, dans votre navigateur.

Comment utiliser l'outil HMAC

  1. 01

    Choisissez un algorithme de hachage.

  2. 02

    Entrez votre clé secrète et le message.

  3. 03

    Copiez le HMAC, affiché comme résumé hexadécimal.

Signez un message avec une clé

Un générateur de HMAC qui signe un message avec une clé secrète à l'aide de SHA-1, SHA-256, SHA-384 ou SHA-512, et affiche le résultat sous forme de condensé hexadécimal. Choisissez un algorithme, saisissez la clé et le message, puis copiez la signature.

Ce que prouve un HMAC

HMAC signifie code d'authentification de message fondé sur le hachage. C'est un hachage à clé: combiner une clé secrète avec le message prouve deux choses à la fois, que le message a été créé par quelqu'un qui détient la clé, et qu'il n'a pas été altéré en transit.

La différence avec un hachage simple, c'est la clé. N'importe qui peut calculer un SHA-256 d'un message, mais seul quelqu'un possédant le secret partagé peut produire le bon HMAC, et c'est ce qui transforme une somme de contrôle en preuve d'authenticité.

Où l'on rencontre le HMAC

C'est pourquoi il est partout dans l'infrastructure web. Les webhooks de services comme Stripe, GitHub et Slack signent chaque requête avec un HMAC afin que votre serveur puisse vérifier que l'appel provient réellement d'eux, et de nombreuses API signent les requêtes de la même manière.

Choisir un algorithme

SHA-256 est le choix par défaut courant; SHA-384 et SHA-512 sont plus robustes, tandis que SHA-1 est ancien et à éviter pour les nouveaux systèmes.

Note de sécurité

Il s'exécute localement avec l'API Web Crypto, si bien que votre clé et votre message ne sont jamais téléversés, ce qui est important puisque la clé est un secret.

Questions fréquentes

Qu'est-ce qu'un HMAC ?

Un hachage à clé qui prouve qu'un message a été créé par quelqu'un détenant la clé secrète et n'a pas été altéré. Il est largement utilisé pour la signature des requêtes d'API et les webhooks.

Mon secret est-il envoyé quelque part ?

Non. Le HMAC est calculé dans votre navigateur avec la Web Crypto API, la clé et le message ne quittent donc jamais votre appareil.

Quel algorithme dois-je utiliser ?

SHA-256 est la valeur par défaut courante. SHA-384 et SHA-512 sont plus robustes ; SHA-1 est ancien et à éviter pour les nouveaux systèmes.

En quoi le HMAC diffère-t-il d'un simple hachage ?

Un simple hachage, n'importe qui peut le calculer. Le HMAC y mêle une clé secrète, seule une personne disposant de la clé peut donc produire la bonne valeur, ce qui prouve l'authenticité, pas seulement l'intégrité.

Comment les webhooks utilisent-ils le HMAC ?

L'expéditeur signe le corps de chaque requête avec un secret partagé et inclut le HMAC dans un en-tête. Votre serveur recalcule le HMAC et le compare, confirmant que la requête est authentique et inchangée.

Sources

Intégrer cet outil

Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.

<iframe src="https://monu.tools/embed/fr/hmac-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Outils similaires