Genera un HMAC per un messaggio e una chiave segreta usando SHA-1, SHA-256, SHA-384 o SHA-512, nel browser.
Come usare HMAC
Scegli un algoritmo hash.
Inserisci la chiave segreta e il messaggio.
Copia l'HMAC, mostrato come digest esadecimale.
Un generatore HMAC che firma un messaggio con una chiave segreta usando SHA-1, SHA-256, SHA-384 o SHA-512, e mostra il risultato come digest esadecimale. Scegli un algoritmo, inserisci la chiave e il messaggio, e copia la firma.
HMAC sta per hash-based message authentication code. È un hash con chiave: combinare una chiave segreta con il messaggio dimostra due cose contemporaneamente, che il messaggio è stato creato da qualcuno che possiede la chiave, e che non è stato alterato durante il transito.
La differenza rispetto a un hash semplice è la chiave. Chiunque può calcolare uno SHA-256 di un messaggio, ma solo chi possiede il segreto condiviso può produrre l'HMAC corretto, ed è questo che trasforma un checksum in una prova di autenticità.
Ecco perché è ovunque nell'infrastruttura web. I webhook di servizi come Stripe, GitHub e Slack firmano ogni richiesta con un HMAC così il tuo server può verificare che la chiamata provenga davvero da loro, e molte API firmano le richieste allo stesso modo.
SHA-256 è la scelta predefinita comune; SHA-384 e SHA-512 sono più forti, mentre SHA-1 è obsoleto ed è meglio evitarlo per i nuovi sistemi.
Funziona localmente con la Web Crypto API, quindi la tua chiave e il tuo messaggio non vengono mai caricati, il che è importante poiché la chiave è un segreto.
Domande frequenti
Un hash con chiave che dimostra che un messaggio è stato creato da qualcuno che possiede la chiave segreta e non è stato alterato. È ampiamente usato per la firma delle richieste API e i webhook.
No. L'HMAC viene calcolato nel tuo browser con la Web Crypto API, quindi la chiave e il messaggio non lasciano mai il tuo dispositivo.
SHA-256 è il valore predefinito comune. SHA-384 e SHA-512 sono più robusti; SHA-1 è obsoleto ed è meglio evitarlo per i nuovi sistemi.
Un hash semplice può calcolarlo chiunque. L'HMAC mescola una chiave segreta, quindi solo chi possiede la chiave può produrre il valore corretto, il che dimostra l'autenticità, non solo l'integrità.
Il mittente firma il corpo di ogni richiesta con un segreto condiviso e include l'HMAC in un header. Il tuo server ricalcola l'HMAC e lo confronta, confermando che la richiesta è autentica e non modificata.
Incorpora questo strumento
Aggiungi questo strumento al tuo sito web. Copia lo snippet qui sotto; si aggiorna automaticamente.
<iframe src="https://monu.tools/embed/it/hmac-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Strumenti correlati
Codifica testo in Base64 o decodifica Base64 in testo. Compatibile con UTF-8 e con rilevamento automatico della direzione.
Codifica e decodifica URL e componenti URL in percentuale, compatibile con UTF-8.
Decodifica un JSON Web Token per ispezionarne l'header e il payload, con orari di scadenza ed emissione leggibili. Funziona interamente nel tuo browser; i token non vengono mai caricati.
Genera hash SHA-1, SHA-256, SHA-384 e SHA-512 di qualsiasi testo, direttamente nel tuo browser.