Generatore HMAC
Genera HMAC con piu algoritmi
Generatore HMAC
Confronta HMAC
Esempi di Utilizzo
Autenticazione API
Genera firme HMAC per l'autenticazione di richieste API, comunemente usate nelle API REST.
Verifica Webhook
Verifica i payload webhook confrontando le firme HMAC da servizi come Stripe o GitHub.
Firma JWT
Crea firme HMAC-SHA256 per la firma del payload JSON Web Token (JWT).
Funzionalita
Algoritmi Multipli
Supporto per HMAC-SHA256, HMAC-SHA384, HMAC-SHA512 e HMAC-SHA1
Confronto HMAC
Confronta l'HMAC generato con un valore atteso per verificare l'integrita del messaggio
Formati Multipli
Output in esadecimale o codifica Base64 per diverse esigenze di integrazione
Web Crypto API
Usa la Web Crypto API nativa per la generazione HMAC sicura nel browser
Come Usare?
Inserisci Messaggio e Chiave
Digita o incolla il tuo messaggio e inserisci la tua chiave segreta.
Seleziona Algoritmo
Scegli l'algoritmo HMAC (SHA-256, SHA-384, SHA-512 o SHA-1) e il formato di output.
Genera e Copia
Clicca su Genera HMAC e copia il risultato.
Domande Frequenti
Cos'e HMAC?
HMAC sta per Codice di Autenticazione Messaggio basato su Hash. Combina una funzione hash crittografica (come SHA-256) con una chiave segreta per produrre una firma che dimostra sia l'integrita che l'autenticita di un messaggio. A differenza di un hash semplice, HMAC garantisce che solo qualcuno che conosce la chiave segreta avrebbe potuto generare il codice - ecco perche e la spina dorsale dell'autenticazione API, della verifica webhook e della firma JWT.
Dove troverai HMAC nella pratica
Se hai integrato con Stripe, GitHub o AWS, hai usato HMAC. Stripe firma i payload dei webhook con HMAC-SHA256 cosi puoi verificare che vengano davvero da Stripe. AWS usa HMAC-SHA256 nella Signature Version 4 per firmare le richieste API. I JWT con algoritmo HS256 sono letteralmente HMAC-SHA256. Questo strumento ti permette di generare e verificare queste firme senza scrivere codice.
HMAC vs hash semplice
Un hash SHA-256 di "hello" e sempre lo stesso indipendentemente da chi l'ha calcolato. Un HMAC-SHA256 di "hello" e diverso per ogni chiave segreta - dimostra quindi che il messaggio non e stato alterato E che e stato creato da qualcuno che conosce la chiave. Questa e la differenza critica: l'hash da integrita, HMAC da integrita piu autenticazione.
Scegliere l'algoritmo giusto
HMAC-SHA256 e lo standard di settore e quello che dovresti usare salvo ragioni specifiche. HMAC-SHA384 e HMAC-SHA512 producono output piu lunghi per margini di sicurezza superiori. HMAC-SHA1 e supportato per retrocompatibilita ma non dovrebbe essere usato in nuove implementazioni.
Sicurezza e privacy
Questo strumento gira interamente nel tuo browser usando la Web Crypto API - la stessa implementazione crittografica che gestisce TLS. La tua chiave segreta non tocca mai un server. Puoi verificarlo usando lo strumento offline.