Générez un HMAC pour un message et une clé secrète en utilisant SHA-1, SHA-256, SHA-384 ou SHA-512, dans votre navigateur.
Comment utiliser l'outil HMAC
Choisissez un algorithme de hachage.
Entrez votre clé secrète et le message.
Copiez le HMAC, affiché comme résumé hexadécimal.
Un générateur de HMAC qui signe un message avec une clé secrète à l'aide de SHA-1, SHA-256, SHA-384 ou SHA-512, et affiche le résultat sous forme de condensé hexadécimal. Choisissez un algorithme, saisissez la clé et le message, puis copiez la signature.
HMAC signifie code d'authentification de message fondé sur le hachage. C'est un hachage à clé: combiner une clé secrète avec le message prouve deux choses à la fois, que le message a été créé par quelqu'un qui détient la clé, et qu'il n'a pas été altéré en transit.
La différence avec un hachage simple, c'est la clé. N'importe qui peut calculer un SHA-256 d'un message, mais seul quelqu'un possédant le secret partagé peut produire le bon HMAC, et c'est ce qui transforme une somme de contrôle en preuve d'authenticité.
C'est pourquoi il est partout dans l'infrastructure web. Les webhooks de services comme Stripe, GitHub et Slack signent chaque requête avec un HMAC afin que votre serveur puisse vérifier que l'appel provient réellement d'eux, et de nombreuses API signent les requêtes de la même manière.
SHA-256 est le choix par défaut courant; SHA-384 et SHA-512 sont plus robustes, tandis que SHA-1 est ancien et à éviter pour les nouveaux systèmes.
Il s'exécute localement avec l'API Web Crypto, si bien que votre clé et votre message ne sont jamais téléversés, ce qui est important puisque la clé est un secret.
Questions fréquentes
Un hachage à clé qui prouve qu'un message a été créé par quelqu'un détenant la clé secrète et n'a pas été altéré. Il est largement utilisé pour la signature des requêtes d'API et les webhooks.
Non. Le HMAC est calculé dans votre navigateur avec la Web Crypto API, la clé et le message ne quittent donc jamais votre appareil.
SHA-256 est la valeur par défaut courante. SHA-384 et SHA-512 sont plus robustes ; SHA-1 est ancien et à éviter pour les nouveaux systèmes.
Un simple hachage, n'importe qui peut le calculer. Le HMAC y mêle une clé secrète, seule une personne disposant de la clé peut donc produire la bonne valeur, ce qui prouve l'authenticité, pas seulement l'intégrité.
L'expéditeur signe le corps de chaque requête avec un secret partagé et inclut le HMAC dans un en-tête. Votre serveur recalcule le HMAC et le compare, confirmant que la requête est authentique et inchangée.
Intégrer cet outil
Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.
<iframe src="https://monu.tools/embed/fr/hmac-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Outils similaires
Encodez du texte en Base64 ou décodez du Base64 en texte. Compatible UTF-8 avec détection automatique de la direction.
Encodez et décodez les URLs et composants d'URL en percent-encoding, compatible UTF-8.
Décodez un JSON Web Token pour inspecter son en-tête et sa charge utile, avec des heures d'expiration et d'émission lisibles. S'exécute entièrement dans votre navigateur ; les tokens ne sont jamais envoyés.
Générez des hachages SHA-1, SHA-256, SHA-384 et SHA-512 de n'importe quel texte, directement dans votre navigateur.