Monu Tools

Generatore HMAC

Genera un HMAC per un messaggio e una chiave segreta usando SHA-1, SHA-256, SHA-384 o SHA-512, nel browser.

Come usare HMAC

  1. 01

    Scegli un algoritmo hash.

  2. 02

    Inserisci la chiave segreta e il messaggio.

  3. 03

    Copia l'HMAC, mostrato come digest esadecimale.

Firma un messaggio con una chiave

Un generatore HMAC che firma un messaggio con una chiave segreta usando SHA-1, SHA-256, SHA-384 o SHA-512, e mostra il risultato come digest esadecimale. Scegli un algoritmo, inserisci la chiave e il messaggio, e copia la firma.

Cosa dimostra un HMAC

HMAC sta per hash-based message authentication code. È un hash con chiave: combinare una chiave segreta con il messaggio dimostra due cose contemporaneamente, che il messaggio è stato creato da qualcuno che possiede la chiave, e che non è stato alterato durante il transito.

La differenza rispetto a un hash semplice è la chiave. Chiunque può calcolare uno SHA-256 di un messaggio, ma solo chi possiede il segreto condiviso può produrre l'HMAC corretto, ed è questo che trasforma un checksum in una prova di autenticità.

Dove compare l'HMAC

Ecco perché è ovunque nell'infrastruttura web. I webhook di servizi come Stripe, GitHub e Slack firmano ogni richiesta con un HMAC così il tuo server può verificare che la chiamata provenga davvero da loro, e molte API firmano le richieste allo stesso modo.

Scegliere un algoritmo

SHA-256 è la scelta predefinita comune; SHA-384 e SHA-512 sono più forti, mentre SHA-1 è obsoleto ed è meglio evitarlo per i nuovi sistemi.

Nota sulla sicurezza

Funziona localmente con la Web Crypto API, quindi la tua chiave e il tuo messaggio non vengono mai caricati, il che è importante poiché la chiave è un segreto.

Domande frequenti

Cos'è un HMAC?

Un hash con chiave che dimostra che un messaggio è stato creato da qualcuno che possiede la chiave segreta e non è stato alterato. È ampiamente usato per la firma delle richieste API e i webhook.

Il mio segreto viene inviato da qualche parte?

No. L'HMAC viene calcolato nel tuo browser con la Web Crypto API, quindi la chiave e il messaggio non lasciano mai il tuo dispositivo.

Quale algoritmo dovrei usare?

SHA-256 è il valore predefinito comune. SHA-384 e SHA-512 sono più robusti; SHA-1 è obsoleto ed è meglio evitarlo per i nuovi sistemi.

In cosa è diverso l'HMAC da un hash semplice?

Un hash semplice può calcolarlo chiunque. L'HMAC mescola una chiave segreta, quindi solo chi possiede la chiave può produrre il valore corretto, il che dimostra l'autenticità, non solo l'integrità.

Come usano i webhook l'HMAC?

Il mittente firma il corpo di ogni richiesta con un segreto condiviso e include l'HMAC in un header. Il tuo server ricalcola l'HMAC e lo confronta, confermando che la richiesta è autentica e non modificata.

Fonti

Incorpora questo strumento

Aggiungi questo strumento al tuo sito web. Copia lo snippet qui sotto; si aggiorna automaticamente.

<iframe src="https://monu.tools/embed/it/hmac-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Strumenti correlati