Tiny Online Tools logoTiny Online ToolssearchRechercher des outils…grid_viewTous les outils
Accueilchevron_rightOutils de Securitechevron_rightGénérateur HMACGénérateur HMAC

Générateur HMAC

Générez des signatures HMAC à partir de texte.

infoSaisissez ci-dessus une clé secrète et un message pour générer la signature HMAC.

Outils similaires

Générateur MD5

Générateur MD5

Générez des hachages MD5 rapidement.

Générateur SHA-256

Générateur SHA-256

Générez des hachages SHA-256 à partir de texte.

Générateur Bcrypt

Générateur Bcrypt

Générez des hachages de mot de passe bcrypt.

JWT générateur

JWT générateur

Generate et sign JSON Web Tokens avec HMAC, or décoder any JWT.

Compresser un PDF

Compresser un PDF

Réduisez la taille d'un document PDF sans l'envoyer sur un serveur.

Convertisseur d'Image

Convertisseur d'Image

Convertissez des images entre JPG, PNG, WebP et d'autres formats.

Outil miroir de texte

Outil miroir de texte

Inversez visuellement le texte en retournant l ordre des caracteres.

apps

Plus d'outils

Parcourez notre collection complète d'outils en ligne gratuits.

Générateur HMAC

Alors que les fonctions de hachage classiques comme SHA-256 prouvent l'intégrité des données (« ce fichier n'a pas été modifié »), elles ne prouvent pas l'origine (« ce fichier provient de quelqu'un de confiance »). HMAC (Hash-based Message Authentication Code) résout ce problème en combinant un message avec une clé secrète, produisant une signature que seul quelqu'un possédant la clé secrète aurait pu générer. Cet outil crée des signatures HMAC utilisées dans l'authentification API, la vérification des webhooks et les signatures numériques.

Comment HMAC diffère du hachage simple

Si vous hachez un message, n'importe qui peut vérifier que le hachage correspond — il suffit de le recalculer. Mais avec HMAC, vous hachez le message combiné avec une clé secrète. Un attaquant qui intercepte le message et le hachage ne peut pas créer un HMAC valide pour un message modifié sans connaître la clé secrète. Cela rend HMAC parfait pour les situations où vous devez prouver à la fois l'intégrité et l'authenticité.

Utilisation réelle de HMAC

Les API Web utilisent fréquemment HMAC pour la signature des requêtes. Un client hache le corps de sa requête avec sa clé API secrète et inclut la signature résultante dans la requête. Le serveur répète ce calcul et vérifie que la signature correspond — prouvant que la requête provient du client légitime et n'a pas été altérée. Les fournisseurs de webhooks utilisent la même approche : ils signent la charge utile du webhook avec leur secret, et vous vérifiez la signature avant de traiter le webhook.

Sélection de l'algorithme

Cet outil prend en charge HMAC avec SHA-1, SHA-256, SHA-384 et SHA-512. Préférez SHA-256 ou supérieur pour les nouvelles applications. SHA-1 est plus ancien et moins sécurisé, bien que pour HMAC spécifiquement (plutôt que le hachage simple), SHA-1 reste acceptable dans certains systèmes hérités.

Gestion des clés

La force de HMAC dépend entièrement du maintien de la confidentialité de la clé secrète. Si votre clé API ou clé de signature est compromise, les attaquants peuvent forger des signatures valides. Stockez les clés de manière sécurisée (dans des variables d'environnement ou des gestionnaires de secrets), ne les validez jamais dans le contrôle de version et renouvelez-les périodiquement.