HMAC-Generator online
Erzeuge eine HMAC-Signatur aus einer Nachricht und einem geheimen Schlüssel mit SHA-256, SHA-1, SHA-384 oder SHA-512 in deinem Browser. Dein Schlüssel bleibt lokal.
Der HMAC-Generator läuft vollständig in deinem Browser mit der Web Crypto API. Die Nachricht, die du signierst, und der geheime Schlüssel, den du eingibst, verlassen dein Gerät nie und werden nicht zu ArrayKit hochgeladen.
Hash-Generator öffnen
Über HMAC-Generator
Der HMAC-Generator signiert eine Nachricht mit einem geheimen Schlüssel, um einen keyed Hash zu erzeugen — denselben Authentifizierungscode, den deine API oder dein Webhook nutzt, um zu beweisen, dass ein Payload nicht manipuliert wurde. Tippe oder füge die Nachricht und das Secret ein, wähle SHA-256, SHA-1, SHA-384 oder SHA-512 und lies die Signatur als Hex und als Base64 zurück. Der Schlüssel kann einfacher UTF-8-Text oder eine hex-kodierte Byte-Zeichenfolge sein, sodass er zu dem passt, was dein Server erwartet. Gebaut für Entwickelnde, die Webhook-Signaturen verifizieren, signierte Request-Header verdrahten, das HMAC-Schema einer API testen oder einen Wert gegen die Ausgabe einer Bibliothek prüfen. Alles wird auf deinem Gerät mit der Web Crypto API berechnet — die Nachricht und der geheime Schlüssel verlassen deinen Browser nie.
Funktionen
- Signiere jede Nachricht mit einem geheimen Schlüssel und lies den HMAC sofort
- Wechsle zwischen den Hash-Funktionen SHA-256, SHA-1, SHA-384 und SHA-512
- Sieh die Signatur als kleingeschriebenes Hex und Standard-Base64 nebeneinander
- Gib den geheimen Schlüssel als UTF-8-Text oder als hex-kodierte Byte-Zeichenfolge ein
- Stimmt mit serverseitiger und Bibliotheks-HMAC-Ausgabe Byte für Byte überein
- Kopiere die Hex- oder Base64-Signatur mit einem einzigen Klick
- Klarer Fehler, wenn ein Hex-Schlüssel ungerade Länge oder Nicht-Hex-Zeichen hat
- Läuft auf deinem Gerät über die Web Crypto API, ohne dass etwas hochgeladen wird
So verwendest du HMAC-Generator
- Wähle den Hash-Algorithmus, den dein Dienst nutzt (SHA-256 ist am häufigsten)
- Tippe oder füge die Nachricht ein, die du authentifizieren möchtest
- Gib den geheimen Schlüssel ein und wähle UTF-8 oder Hex, passend zu seinem Format
- Lies den HMAC als Hex oder Base64 und kopiere den Wert, den du brauchst
Beispiel
Eingabe
message: The quick brown fox jumps over the lazy dog
key: key (UTF-8)
algorithm: SHA-256
Ausgabe
hex: f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8
base64: 97yD9DBThCSxMpjmqm+xQ+9NWaFJRhdZl0edvC0aPNg=
HMAC-SHA256 des klassischen Fuchs-Satzes, mit "key" geschlüsselt.
Häufige Fehler & Fehlerbehebung
- Die Signatur passt nicht zu dem, was mein Server erzeugt. — Bestätige, dass du denselben Hash (SHA-256 vs SHA-1) und dasselbe Schlüsselformat gewählt hast. Ein Schlüssel wie a0b1c2 ist als rohes UTF-8 anders als als Hex-Bytes — stelle den Hex-Schalter passend dazu ein, wie der Server ihn liest.
- Fehler: Hex-Schlüssel muss eine gerade Anzahl von Ziffern haben. — Im Hex-Schlüssel-Modus sind zwei Hex-Zeichen ein Byte, sodass die Schlüssellänge gerade sein muss. Entferne ein verirrtes Zeichen oder füge die fehlende Ziffer hinzu, oder wechsle in den UTF-8-Modus, wenn der Schlüssel wirklich Text ist.
- Die API will die Signatur als Base64, aber ich habe nur das Hex. — Du musst nichts konvertieren — dieses Tool zeigt dieselbe Signatur sowohl als Hex als auch als Base64. Kopiere den Base64-Wert direkt aus der zweiten Zeile.
- Ein nachgestellter Zeilenumbruch oder Leerzeichen ändert das Ergebnis. — HMAC deckt jedes Byte der Nachricht ab, sodass ein nachgestellter Zeilenumbruch oder Leerzeichen einen anderen Code erzeugt. Signiere die genauen Bytes, die dein Dienst sendet, ohne zusätzliche Leerzeichen.
Häufig gestellte Fragen
- Was berechnet dieser HMAC-Generator?
- Er berechnet einen keyed-hash Message Authentication Code: er kombiniert deine Nachricht mit einem geheimen Schlüssel unter einer Hash-Funktion (SHA-256, SHA-1, SHA-384 oder SHA-512) und gibt die resultierende Signatur als Hex und Base64 zurück. Jeder mit demselben Schlüssel kann sie neu berechnen, um die Nachricht zu verifizieren.
- Soll ich meinen Schlüssel als UTF-8 oder Hex eingeben?
- Passe es an, wie dein Dienst den Schlüssel speichert. Ist das Secret ein normaler String oder eine Passphrase, nutze UTF-8. Ist es eine Folge von Hex-Bytes (üblich für zufällig erzeugte Schlüssel), wechsle zu Hex, damit genau dieselben Bytes genutzt werden — die beiden erzeugen verschiedene Signaturen.
- Welchen HMAC-Algorithmus sollte ich wählen?
- HMAC-SHA256 ist der Standard für die meisten APIs und Webhooks. Wähle SHA-384 oder SHA-512 für eine längere Signatur, oder SHA-1 nur, wenn du ein älteres System treffen musst, da SHA-1 für neue Designs als schwach gilt.
- Wie verifiziere ich damit eine Webhook-Signatur?
- Füge den rohen Webhook-Payload als Nachricht ein, gib das gemeinsame Signier-Secret als Schlüssel ein, wähle den vom Anbieter dokumentierten Algorithmus und vergleiche die Hex- oder Base64-Ausgabe mit dem Signatur-Header, den er gesendet hat. Ein Treffer bestätigt, dass der Payload echt und unverändert ist.
- Werden meine Nachricht oder mein geheimer Schlüssel irgendwohin hochgeladen?
- Nein. Der HMAC wird in deinem Browser mit der Web Crypto API berechnet. Die Nachricht, die du signierst, und der geheime Schlüssel, den du eingibst, verlassen dein Gerät nie und werden nicht an ArrayKit oder einen Server gesendet.
- Warum ist die Ausgabe sowohl in Hex als auch in Base64?
- Verschiedene Dienste kodieren dieselben HMAC-Bytes unterschiedlich — manche Header nutzen kleingeschriebenes Hex, andere Base64. Dieses Tool zeigt beide Kodierungen der identischen Signatur, sodass du das Format kopieren kannst, das deine API erwartet, ohne von Hand zu konvertieren.
Verwandte Tools
- Hash-Generator — SHA-256 / SHA-1 / SHA-384 / SHA-512 über die Web-Crypto-API.
- JWT-Signierer — Erstelle und signiere ein JWT (HS256/384/512) aus Payload und Secret – Web Crypto.
- JWT-Dekoder — Dekodiere Header und Payload eines JWT und prüfe exp/iat (ohne Verifizierung).
- Bcrypt-Generator — Ein Passwort mit bcrypt hashen oder gegen einen bestehenden Hash prüfen.
- TOTP-/2FA-Generator — Erzeuge zeitbasierte Einmalpasswörter (2FA-Codes) aus einem Base32-Secret.
- Base64 kodieren / dekodieren — Sichere Base64-Kodierung und -Dekodierung in UTF-8.
Alle ArrayKit-Tools