Tidak suka iklan? Pergi Bebas Iklan Hari ini 

Generator Tanda Tangan API

DataPengembangKeamanan

IKLAN · MENGHAPUS?

MEMASUKKAN

Proses Otomatis

KELUARAN

Sisi klien

IKLAN · MENGHAPUS?

Memandu

Generator Tanda Tangan API

Hasilkan tanda tangan permintaan API berbasis HMAC untuk verifikasi webhook, otentikasi API, dan penandatanganan permintaan. Mendukung HMAC-SHA1, HMAC-SHA256, dan HMAC-SHA512 dengan kunci rahasia dalam format teks biasa atau heksadesimal, menghasilkan tanda tangan hex dan Base64 untuk penggunaan segera di header HTTP atau parameter kueri.

Cara Penggunaan

Masukkan pesan atau data untuk ditandatangani (biasanya isi permintaan, URL, atau string kanonik), sediakan kunci rahasia Anda, pilih format kunci (teks biasa atau hex), dan pilih algoritma HMAC. Tanda tangan muncul secara instan dalam format hex dan Base64. Gunakan contoh bawaan untuk melihat skenario penandatanganan webhook di dunia nyata.

Fitur

3 algoritma – HMAC-SHA1, HMAC-SHA256 (default), HMAC-SHA512
Dua format kunci – kunci rahasia teks biasa atau heksadesimal
Dua keluaran – tanda tangan dalam pengkodean hex dan Base64
Pembuatan waktu nyata – tanda tangan diperbarui secara instan saat Anda mengetik
Contoh preset – contoh penandatanganan webhook sekali klik untuk memulai
Hanya sisi klien – kunci rahasia Anda tidak pernah meninggalkan peramban

IKLAN · MENGHAPUS?

 Tanya Jawab Umum

Bagaimana cara kerja otentikasi API berbasis HMAC?

Otentikasi HMAC (Hash-based Message Authentication Code) bekerja dengan kedua belah pihak berbagi kunci rahasia. Pengirim menghitung HMAC(rahasia, pesan) dan mengirimkan hasilnya sebagai header tanda tangan. Penerima secara independen menghitung HMAC yang sama dan membandingkannya dengan tanda tangan yang diterima. Karena hanya pihak dengan kunci rahasia yang dapat menghasilkan tanda tangan yang valid, HMAC yang cocok membuktikan keaslian dan integritas pesan.
Apa perbedaan antara HMAC-SHA256 dan hash SHA256 biasa?

Hash SHA256 biasa bersifat deterministik dan publik — siapa pun dapat menghitung SHA256(data). HMAC-SHA256 menggabungkan kunci rahasia ke dalam perhitungan menggunakan konstruksi dua pass: HMAC(k, m) = H((k ⊕ opad) || H((k ⊕ ipad) || m)). Ini berarti hanya pihak dengan kunci rahasia yang dapat menghasilkan atau memverifikasi tanda tangan, membuatnya cocok untuk otentikasi di mana hash biasa tidak.
Mengapa sistem webhook menggunakan tanda tangan HMAC?

Webhook mengirimkan permintaan HTTP POST dari server ke titik akhir Anda. Tanpa otentikasi, server mana pun dapat mengirim peristiwa palsu. Tanda tangan HMAC menyelesaikan ini: penyedia webhook menandatangani payload dengan rahasia bersama, dan server Anda menghitung ulang HMAC untuk memverifikasi keaslian sebelum memproses peristiwa tersebut. GitHub, Stripe, Shopify, dan sebagian besar sistem webhook modern menggunakan pola ini dengan HMAC-SHA256.
Apa yang harus saya gunakan sebagai pesan untuk penandatanganan permintaan API?

Konten pesan bervariasi menurut API. Pendekatan umum meliputi: menandatangani hanya isi permintaan (Stripe, webhook GitHub), menandatangani string kanonik dari metode + URL + stempel waktu + isi (AWS Signature V4), atau menandatangani string kueri yang diurutkan. Selalu periksa dokumentasi penyedia API Anda untuk format string kanonik yang tepat, karena bahkan perbedaan spasi kosong akan menghasilkan tanda tangan yang berbeda.