Free2BoxFree2Box

HMAC 產生器

使用 SHA-256、SHA-384 或 SHA-512 產生 HMAC 簽名

訊息
HMAC 輸出
HMAC 簽名將顯示在此

什麼是 HMAC?

HMAC(基於雜湊的訊息認證碼)使用密鑰結合雜湊函數來驗證資料的完整性和真實性。

相關工具

Hash 生成器

生成 SHA-1、SHA-256、SHA-384、SHA-512 雜湊值

密碼生成器

生成強大、安全的隨機密碼

JWT 解碼器

解碼並檢查 JSON Web Token

Token / 密鑰產生器

以多種格式產生隨機 Token、API 密鑰和密碼

Bcrypt 雜湊產生器

使用 Bcrypt 雜湊密碼並驗證雜湊值

JSON 格式化

美化、壓縮和驗證 JSON 數據

使用方法

1

輸入數值

在輸入欄位中填入您的數字或參數。

2

即時取得結果

結果在您輸入時自動更新——無需按計算按鈕。

3

複製或儲存

將結果複製到剪貼簿或用於您的工作流程。

為什麼使用此工具

100% 免費

沒有隱藏費用,沒有付費等級——所有功能完全免費。

無需安裝

完全在瀏覽器中運行。無需下載或安裝任何軟體。

隱私且安全

您的資料永遠不會離開您的裝置。不會上傳至任何伺服器。

支援行動裝置

完全響應式設計——在手機、平板或桌面電腦上均可使用。

開發者工具指南

HMAC 簽章指南:確保訊息完整性與來源驗證

重點摘要

  • HMAC 結合雜湊函式和密鑰,同時驗證資料完整性和來源真實性
  • 只有持有相同密鑰的雙方才能產生和驗證 HMAC 簽章
  • Webhook 驗證、API 簽章和訊息認證都依賴 HMAC 機制

HMAC(Hash-based Message Authentication Code)是一種基於雜湊函式和密鑰的訊息認證碼。它不僅能驗證資料是否被竄改(完整性),還能確認訊息確實來自持有密鑰的發送方(真實性)。HMAC 被廣泛用於 API 簽章、Webhook 驗證和各種安全通訊協定中。

HMAC-SHA256

最廣泛使用的訊息認證機制

常見用途

1

Webhook 驗證

GitHub、Stripe 等服務發送 Webhook 時會附帶 HMAC 簽章。接收方使用共享密鑰計算 HMAC 並比對,確認請求確實來自該服務而非偽造。

2

API 請求簽章

AWS Signature V4 等 API 認證方案使用 HMAC 對請求內容簽章。伺服器驗證簽章確認請求在傳輸過程中未被竄改。

3

資料完整性驗證

傳輸重要資料時,附帶 HMAC 簽章讓接收方驗證資料完整性。比單純的雜湊更安全,因為攻擊者無法偽造不知道密鑰的簽章。

4

Session Token 驗證

伺服器可用 HMAC 簽署 Session ID,驗證時重新計算比對。無需查詢資料庫即可確認 Token 的有效性和完整性。

實用技巧

HMAC 密鑰應使用加密安全的隨機數產生器產生,長度至少與雜湊輸出相同(SHA-256 建議 32 位元組)。

比對 HMAC 值時要使用常數時間比較(constant-time comparison),避免時序攻擊。

HMAC-SHA256 是目前最推薦的組合。HMAC-MD5 雖然 HMAC 結構未被破解,但建議避免使用。

密鑰必須安全儲存(環境變數或密鑰管理服務),絕不應寫在程式碼中。

本工具所有運算皆在您的瀏覽器本地完成,不會上傳任何資料至伺服器。內容僅供參考,請依實際需求進行驗證。

參考資料

常見問題