مولد توقيع واجهة برمجة التطبيقات

تعمل المصادقة HMAC (رمز مصادقة الرسالة المستندة إلى التجزئة) بمشاركة مفتاح سري بين الطرفين. يقوم المرسل بحساب HMAC(secret, message) ويرسل النتيجة كرأس توقيع. يقوم المستلم بشكل مستقل بحساب نفس HMAC ويقارنه بالتوقيع المستلم. نظرًا لأن الأطراف التي تمتلك المفتاح السري فقط يمكنها إنتاج توقيع صالح، فإن HMAC المتطابق يثبت أصالة الرسالة وسلامتها.

تجزئة SHA256 العادية حتمية وعامة - يمكن لأي شخص حساب SHA256(data). يدمج HMAC-SHA256 مفتاحًا سريًا في الحساب باستخدام بناء من مرحلتين: HMAC(k, m) = H((k ⊕ opad) || H((k ⊕ ipad) || m)). هذا يعني أن الأطراف التي تمتلك المفتاح السري فقط يمكنها إنتاج أو التحقق من صحة التوقيع، مما يجعله مناسبًا للمصادقة حيث لا تكون التجزئات العادية مناسبة.

تقوم الويب هوك بتسليم طلبات HTTP POST من خادم إلى نقطة النهاية الخاصة بك. بدون مصادقة، يمكن لأي خادم إرسال أحداث وهمية. تحل توقيعات HMAC هذه المشكلة: يقوم موفر الويب هوك بتوقيع الحمولة بمفتاح سري مشترك، ويعيد خادمك حساب HMAC للتحقق من الأصالة قبل معالجة الحدث. تستخدم GitHub و Stripe و Shopify ومعظم أنظمة الويب هوك الحديثة هذا النمط مع HMAC-SHA256.

يختلف محتوى الرسالة حسب API. تشمل الأساليب الشائعة: توقيع نص الطلب فقط (Stripe، GitHub webhooks)، وتوقيع سلسلة نصية موحدة تتكون من الطريقة + عنوان URL + الطابع الزمني + النص (AWS Signature V4)، أو توقيع سلسلة استعلام مرتبة. تحقق دائمًا من وثائق موفر API الخاص بك لمعرفة تنسيق السلسلة النصية الموحدة الدقيق الخاص بهم، حيث أن اختلافات المسافات البيضاء ستنتج توقيعًا مختلفًا.