HMAC (Hash-based Message Authentication Code) is a mechanism for verifying both the integrity and authenticity of a message. It combines a cryptographic hash function (such as SHA-256) with a secret key to produce a fixed-size signature. Unlike a plain hash, an HMAC cannot be forged without knowing the secret key.

What is the difference between HMAC and a regular hash?

A regular hash (e.g., SHA-256) depends only on the input data — anyone with the same data gets the same hash. HMAC adds a secret key, so only parties who know the key can produce or verify the correct HMAC. This makes HMAC suitable for authentication, while plain hashes are only suitable for integrity checks where the hash itself is trusted.

What HMAC algorithm should I use?

HMAC-SHA256 is the most widely used and recommended choice for new applications. It is used in JWT signatures (HS256), AWS Signature Version 4, webhook verification, and many API authentication schemes. HMAC-SHA512 provides a larger output for higher-security requirements. Avoid HMAC-MD5 and HMAC-SHA1 for new implementations.

What is HMAC used for in APIs?

HMAC is commonly used in API authentication to verify that requests come from an authorized client and haven't been tampered with in transit. The client signs the request body or specific headers with a shared secret key; the server recomputes the HMAC and compares. This pattern is used by Stripe webhooks, GitHub webhooks, AWS API authentication, and many payment gateways.

เครื่องมือสร้าง HMAC

อินพุต

ข้อความ

คีย์ลับ

การกำหนดค่า

อัลกอริทึม
เลือกอัลกอริทึมแฮช HMAC
รูปแบบคีย์
วิธีการเข้ารหัสคีย์ลับของคุณ
รูปแบบเอาต์พุต
วิธีแสดงผล HMAC ที่สร้างขึ้น

เอาต์พุต HMAC

รายละเอียดทางเทคนิค

ตัวสร้าง HMAC ทำงานอย่างไร

เครื่องมือนี้ทำอะไร

ตัวสร้าง HMAC นี้สร้างแฮชแบบมีคีย์ (ลายเซ็น HMAC) สำหรับข้อความโดยใช้คีย์ลับที่ใช้ร่วมกัน รองรับ HMAC SHA-1, HMAC SHA-256, HMAC SHA-384 และ HMAC SHA-512 ซึ่งมักใช้สำหรับการยืนยันตัวตนของ API การตรวจสอบเว็บฮุค และการตรวจสอบความถูกต้องของข้อความ คุณสามารถเลือกวิธีเข้ารหัสคีย์ (ข้อความ, hex หรือ Base64) และเอาต์พุต HMAC เป็น hex หรือ Base64 การคำนวณทั้งหมดทำงานในเครื่องภายในเบราว์เซอร์ของคุณโดยใช้ Web Crypto API ดังนั้นคีย์ลับของคุณจะไม่ออกจากอุปกรณ์

กรณีการใช้งานทั่วไปของนักพัฒนา

นักพัฒนาใช้เครื่องคำนวณ HMAC ออนไลน์เพื่อยืนยันลายเซ็นเว็บฮุคจากบริการอย่าง Stripe, GitHub หรือ Slack สร้างลายเซ็นคำขอ API และดีบักเวิร์กโฟลว์การเซ็น JWT แบบ HMAC เมื่อผสานรวม API ของบุคคลที่สามที่ต้องใช้การยืนยันตัวตนด้วย HMAC เครื่องมือนี้ช่วยให้คุณยืนยันลายเซ็นที่คาดหวังและเปรียบเทียบกับเอาต์พุตจากเซิร์ฟเวอร์ นอกจากนี้ยังช่วยตรวจสอบแฮช HMAC ระหว่างการทดสอบ สร้างตัวอย่างที่ทำซ้ำได้ และแก้ปัญหาความไม่ตรงกันของการเข้ารหัสระหว่างไคลเอนต์และเซิร์ฟเวอร์

รูปแบบข้อมูล ชนิด หรือรูปแบบย่อย

เครื่องมือ HMAC รองรับอัลกอริทึม SHA-1, SHA-256, SHA-384 และ SHA-512 โดยเอาต์พุตเป็น hex หรือ Base64 คีย์ลับสามารถระบุเป็นข้อความธรรมดา (UTF-8), เลขฐานสิบหก หรือไบต์ที่เข้ารหัสด้วย Base64 การผสานรวมจำนวนมากเผยแพร่ลายเซ็น HMAC เป็น hex ขณะที่บาง API คาดหวัง Base64; ตัวสร้างนี้ช่วยให้คุณจับคู่รูปแบบเหล่านั้นได้ โปรดเลือกการเข้ารหัสคีย์ให้ถูกต้องเพื่อหลีกเลี่ยงลายเซ็นไม่ตรงกัน

ข้อผิดพลาดที่พบบ่อยและกรณีขอบ

ลายเซ็น HMAC ไวต่อรายละเอียดของอินพุตอย่างมาก ความแตกต่างใดๆ ในการเข้ารหัสข้อความ เว้นวรรค หรือการขึ้นบรรทัดใหม่ จะทำให้ผลลัพธ์เปลี่ยนไป ตรวจสอบให้แน่ใจว่าคุณใช้เพย์โหลดที่ตรงกันทุกประการและรูปแบบคีย์ที่ถูกต้อง (ข้อความ vs hex vs Base64) SHA-1 ถือว่าอ่อนแอกว่าและควรใช้เฉพาะกับการผสานรวมแบบเดิมเมื่อจำเป็น หากแพลตฟอร์มของคุณใช้ Base64URL แทน Base64 คุณอาจต้องแปลงเอาต์พุตเพื่อเปรียบเทียบ

เมื่อใดควรใช้เครื่องมือนี้แทนการเขียนโค้ด

ใช้ตัวสร้าง HMAC นี้สำหรับการตรวจสอบอย่างรวดเร็ว การดีบักการยืนยันเว็บฮุค และการตรวจสอบลายเซ็นตัวอย่างระหว่างการพัฒนา สำหรับระบบโปรดักชัน ให้สร้างลายเซ็น HMAC ด้วยโค้ดโดยใช้ไลบรารีคริปโตของแพลตฟอร์ม เพื่อให้มั่นใจได้ถึงการเข้ารหัสที่สอดคล้อง การจัดการคีย์อย่างปลอดภัย และการเปรียบเทียบแบบป้องกันการโจมตีด้านเวลา (timing-safe) เครื่องมือนี้เหมาะสำหรับการพัฒนา แต่แอปพลิเคชันของคุณควรคำนวณ HMAC แบบโปรแกรมในโปรดักชัน