Gerador de HMAC

Enquanto funções de hash regulares como SHA-256 provam a integridade dos dados ("este arquivo não foi modificado"), elas não provam a origem ("este arquivo veio de alguém em quem confio"). O HMAC (Hash-based Message Authentication Code) resolve isso combinando uma mensagem com uma chave secreta, produzindo uma assinatura que apenas quem possui a chave secreta pode ter gerado. Esta ferramenta cria assinaturas HMAC usadas em autenticação de API, verificação de webhooks e assinaturas digitais.

Como o HMAC difere do hash simples

Se você faz hash de uma mensagem, qualquer pessoa pode verificar se o hash corresponde — basta recalculá-lo. Mas com HMAC, você faz hash da mensagem combinada com uma chave secreta. Um invasor que intercepta a mensagem e o hash não pode criar um HMAC válido para uma mensagem modificada sem conhecer a chave secreta.

Uso do HMAC no mundo real

APIs web frequentemente usam HMAC para assinar solicitações. Um cliente faz hash do corpo da solicitação com sua chave de API secreta e inclui a assinatura resultante. O servidor repete o cálculo e verifica se a assinatura corresponde — provando que a solicitação veio do cliente legítimo e não foi adulterada. Provedores de webhook usam a mesma abordagem.

Seleção de algoritmo

Esta ferramenta suporta HMAC com SHA-1, SHA-256, SHA-384 e SHA-512. Prefira SHA-256 ou superior para novas aplicações.

Gerenciamento de chaves

A força do HMAC depende inteiramente de manter a chave secreta em segredo. Se sua chave de API for comprometida, invasores podem forjar assinaturas válidas. Armazene chaves com segurança em variáveis de ambiente, nunca as inclua em controle de versão e rotacione-as periodicamente.