HMAC 產生器
使用 SHA-256、SHA-384 或 SHA-512 產生 HMAC 簽名
繼續下一步
用相關的下一個動作延續你的工作流程。
Privacy & Trust
Browser-side signing
The message and secret stay in the browser while the HMAC is computed with the Web Crypto API.
Integrity, not encryption
HMAC proves authenticity and tamper resistance when both sides share the same secret. It does not hide the original message.
Secret reuse matters
Protect the signing key carefully and avoid sharing it between unrelated environments or products.
Export signature
Generate a signature to enable export.
使用方法
輸入數值
在輸入欄位中填入您的數字或參數。
即時取得結果
結果在您輸入時自動更新——無需按計算按鈕。
複製或儲存
將結果複製到剪貼簿或用於您的工作流程。
為什麼使用此工具
100% 免費
沒有隱藏費用,沒有付費等級——所有功能完全免費。
無需安裝
完全在瀏覽器中運行。無需下載或安裝任何軟體。
隱私且安全
您的資料永遠不會離開您的裝置。不會上傳至任何伺服器。
支援行動裝置
完全響應式設計——在手機、平板或桌面電腦上均可使用。
HMAC 簽章指南:確保訊息完整性與來源驗證
重點摘要
- HMAC 結合雜湊函式和密鑰,同時驗證資料完整性和來源真實性
- 只有持有相同密鑰的雙方才能產生和驗證 HMAC 簽章
- Webhook 驗證、API 簽章和訊息認證都依賴 HMAC 機制
HMAC(Hash-based Message Authentication Code)是一種基於雜湊函式和密鑰的訊息認證碼。它不僅能驗證資料是否被竄改(完整性),還能確認訊息確實來自持有密鑰的發送方(真實性)。HMAC 被廣泛用於 API 簽章、Webhook 驗證和各種安全通訊協定中。
HMAC-SHA256
最廣泛使用的訊息認證機制
常見用途
Webhook 驗證
GitHub、Stripe 等服務發送 Webhook 時會附帶 HMAC 簽章。接收方使用共享密鑰計算 HMAC 並比對,確認請求確實來自該服務而非偽造。
API 請求簽章
AWS Signature V4 等 API 認證方案使用 HMAC 對請求內容簽章。伺服器驗證簽章確認請求在傳輸過程中未被竄改。
資料完整性驗證
傳輸重要資料時,附帶 HMAC 簽章讓接收方驗證資料完整性。比單純的雜湊更安全,因為攻擊者無法偽造不知道密鑰的簽章。
Session Token 驗證
伺服器可用 HMAC 簽署 Session ID,驗證時重新計算比對。無需查詢資料庫即可確認 Token 的有效性和完整性。
實用技巧
HMAC 密鑰應使用加密安全的隨機數產生器產生,長度至少與雜湊輸出相同(SHA-256 建議 32 位元組)。
比對 HMAC 值時要使用常數時間比較(constant-time comparison),避免時序攻擊。
HMAC-SHA256 是目前最推薦的組合。HMAC-MD5 雖然 HMAC 結構未被破解,但建議避免使用。
密鑰必須安全儲存(環境變數或密鑰管理服務),絕不應寫在程式碼中。
本工具所有運算皆在您的瀏覽器本地完成,不會上傳任何資料至伺服器。內容僅供參考,請依實際需求進行驗證。