Generador de Firma de API
Guía
Generador de Firma de API
Genera firmas de solicitudes de API basadas en HMAC para verificación de webhooks, autenticación de API y firma de solicitudes. Soporta HMAC-SHA1, HMAC-SHA256 y HMAC-SHA512 con claves secretas en formato de texto plano o hexadecimal, produciendo firmas en formato hex y Base64 para uso inmediato en encabezados HTTP o parámetros de consulta.
Cómo utilizar
Introduce el mensaje o datos a firmar (normalmente el cuerpo de una solicitud, URL o cadena canónica), proporciona tu clave secreta, selecciona el formato de clave (texto plano o hex) y elige el algoritmo HMAC. La firma aparece instantáneamente en formatos hex y Base64. Utiliza el ejemplo integrado para ver un escenario de firma de webhook en el mundo real.
Características
- 3 algoritmos – HMAC-SHA1, HMAC-SHA256 (predeterminado), HMAC-SHA512
- Formatos de clave duales – claves secretas en texto plano o hexadecimal
- Salida dual – firma en codificación hex y Base64
- Generación en tiempo real – la firma se actualiza instantáneamente a medida que escribes
- Ejemplo preestablecido – ejemplo de firma de webhook con un clic para empezar
- Solo del lado del cliente – tu clave secreta nunca sale del navegador
Preguntas frecuentes
-
¿Cómo funciona la autenticación de API basada en HMAC?
La autenticación HMAC (Hash-based Message Authentication Code) funciona compartiendo una clave secreta entre ambas partes. El remitente calcula HMAC(secreto, mensaje) y envía el resultado como encabezado de firma. El receptor calcula de forma independiente el mismo HMAC y lo compara con la firma recibida. Dado que solo las partes con la clave secreta pueden producir una firma válida, un HMAC coincidente demuestra la autenticidad e integridad del mensaje.
-
¿Cuál es la diferencia entre HMAC-SHA256 y un hash SHA256 normal?
Un hash SHA256 normal es determinista y público — cualquiera puede calcular SHA256(datos). HMAC-SHA256 incorpora una clave secreta en el cálculo utilizando una construcción de dos pasadas: HMAC(k, m) = H((k ⊕ opad) || H((k ⊕ ipad) || m)). Esto significa que solo las partes con la clave secreta pueden producir o verificar la firma, lo que la hace adecuada para la autenticación donde los hashes normales no lo son.
-
¿Por qué los sistemas de webhooks utilizan firmas HMAC?
Los webhooks entregan solicitudes HTTP POST desde un servidor a tu endpoint. Sin autenticación, cualquier servidor podría enviar eventos falsos. Las firmas HMAC resuelven esto: el proveedor del webhook firma la carga útil con un secreto compartido, y tu servidor recalcula el HMAC para verificar la autenticidad antes de procesar el evento. GitHub, Stripe, Shopify y la mayoría de los sistemas de webhooks modernos utilizan este patrón con HMAC-SHA256.
-
¿Qué debo usar como mensaje para la firma de solicitudes de API?
El contenido del mensaje varía según la API. Los enfoques comunes incluyen: firmar solo el cuerpo de la solicitud (Stripe, webhooks de GitHub), firmar una cadena canónica de método + URL + marca de tiempo + cuerpo (AWS Signature V4) o firmar una cadena de consulta ordenada. Siempre consulta la documentación de tu proveedor de API para conocer su formato exacto de cadena canónica, ya que incluso las diferencias de espacio en blanco producirán una firma diferente.
Instalar extensiones
Agregue herramientas IO a su navegador favorito para obtener acceso instantáneo y búsquedas más rápidas
恵 ¡El marcador ha llegado!
Marcador es una forma divertida de llevar un registro de tus juegos, todos los datos se almacenan en tu navegador. ¡Próximamente habrá más funciones!
Herramientas clave
Ver todo Los recién llegados
Ver todoActualizar: Nuestro última herramienta se agregó el 9 de Abr de 2026
Involucrarse
Ayúdanos a seguir brindando valiosas herramientas gratuitas
