Gerador de HMAC Online

Gere uma assinatura HMAC a partir de uma mensagem e uma chave secreta com SHA-256, SHA-1, SHA-384 ou SHA-512 no seu navegador. Sua chave fica no dispositivo.

O Gerador de HMAC roda inteiramente no seu navegador usando a Web Crypto API. A mensagem que você assina e a chave secreta que você insere nunca saem do seu dispositivo e não são enviadas à ArrayKit.

Abrir o Gerador de Hash

Sobre Gerador de HMAC

O Gerador de HMAC assina uma mensagem com uma chave secreta para produzir um hash com chave — o mesmo código de autenticação que sua API ou webhook usa para provar que um payload não foi adulterado. Digite ou cole a mensagem e o segredo, escolha SHA-256, SHA-1, SHA-384 ou SHA-512, e leia a assinatura de volta tanto em hexadecimal quanto em Base64. A chave pode ser texto UTF-8 simples ou uma cadeia de bytes codificada em hexadecimal, então ela se alinha com o que quer que seu servidor espere. É feito para desenvolvedores verificando assinaturas de webhook, montando cabeçalhos de requisição assinados, testando o esquema HMAC de uma API ou checando um valor contra a saída de uma biblioteca. Tudo é calculado no seu dispositivo com a Web Crypto API — a mensagem e a chave secreta nunca saem do seu navegador.

Recursos

Como usar Gerador de HMAC

  1. Escolha o algoritmo de hash que seu serviço usa (SHA-256 é o mais comum)
  2. Digite ou cole a mensagem que você quer autenticar
  3. Insira a chave secreta e escolha UTF-8 ou Hexadecimal para casar com o formato dela
  4. Leia o HMAC como hexadecimal ou Base64 e copie o valor que você precisa

Exemplo

Entrada

message: The quick brown fox jumps over the lazy dog
key: key (UTF-8)
algorithm: SHA-256

Saída

hex:    f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8
base64: 97yD9DBThCSxMpjmqm+xQ+9NWaFJRhdZl0edvC0aPNg=

HMAC-SHA256 da clássica frase da raposa, com a chave "key".

Erros comuns e solução de problemas

Perguntas frequentes

O que este Gerador de HMAC calcula?
Ele calcula um código de autenticação de mensagem com hash e chave: combina sua mensagem com uma chave secreta sob uma função de hash (SHA-256, SHA-1, SHA-384 ou SHA-512) e retorna a assinatura resultante como hexadecimal e Base64. Qualquer pessoa com a mesma chave pode recalculá-la para verificar a mensagem.
Devo inserir minha chave como UTF-8 ou hexadecimal?
Corresponda a como seu serviço armazena a chave. Se o segredo for uma cadeia normal ou uma frase secreta, use UTF-8. Se for uma sequência de bytes hexadecimais (comum para chaves geradas aleatoriamente), mude para Hexadecimal para que os mesmos bytes exatos sejam usados — os dois produzem assinaturas diferentes.
Qual algoritmo HMAC devo escolher?
O HMAC-SHA256 é o padrão para a maioria das APIs e webhooks. Escolha SHA-384 ou SHA-512 para uma assinatura mais longa, ou SHA-1 apenas quando você precisar corresponder a um sistema mais antigo, já que o SHA-1 é considerado fraco para novos projetos.
Como verifico uma assinatura de webhook com isto?
Cole o payload bruto do webhook como a mensagem, insira o segredo de assinatura compartilhado como a chave, escolha o algoritmo que o provedor documenta e compare a saída hexadecimal ou Base64 com o cabeçalho de assinatura que eles enviaram. Uma coincidência confirma que o payload é autêntico e não modificado.
Minha mensagem ou chave secreta é enviada para algum lugar?
Não. O HMAC é calculado no seu navegador com a Web Crypto API. A mensagem que você assina e a chave secreta que você insere nunca saem do seu dispositivo e não são enviadas à ArrayKit ou a qualquer servidor.
Por que a saída vem tanto em hexadecimal quanto em Base64?
Serviços diferentes codificam os mesmos bytes de HMAC de formas diferentes — alguns cabeçalhos usam hexadecimal minúsculo, outros usam Base64. Esta ferramenta mostra as duas codificações da assinatura idêntica para você copiar o formato que sua API espera sem converter à mão.

Ferramentas relacionadas

Todas as ferramentas de ArrayKit