Gerador de Assinatura de API
Guia
Gerador de Assinatura de API
Gere assinaturas de solicitação de API baseadas em HMAC para verificação de webhook, autenticação de API e assinatura de solicitação. Suporta HMAC-SHA1, HMAC-SHA256 e HMAC-SHA512 com chaves secretas em formato de texto plano ou hexadecimal, gerando assinaturas hexadecimais e Base64 para uso imediato em cabeçalhos HTTP ou parâmetros de consulta.
Como usar
Insira a mensagem ou dados a serem assinados (geralmente um corpo de solicitação, URL ou string canônica), forneça sua chave secreta, selecione o formato da chave (texto plano ou hex) e escolha o algoritmo HMAC. A assinatura aparece instantaneamente em ambos os formatos, hex e Base64. Use o exemplo integrado para ver um cenário de assinatura de webhook do mundo real.
Características
- 3 algoritmos – HMAC-SHA1, HMAC-SHA256 (padrão), HMAC-SHA512
- Formatos de chave dupla – chaves secretas em texto plano ou hexadecimal
- Saída dupla – assinatura em codificação hex e Base64
- Geração em tempo real – a assinatura é atualizada instantaneamente conforme você digita
- Exemplo predefinido – exemplo de assinatura de webhook com um clique para começar
- Somente no lado do cliente – sua chave secreta nunca sai do navegador
Perguntas frequentes
-
Como funciona a autenticação de API baseada em HMAC?
A autenticação HMAC (Hash-based Message Authentication Code) funciona com ambas as partes compartilhando uma chave secreta. O remetente calcula HMAC(segredo, mensagem) e envia o resultado como um cabeçalho de assinatura. O receptor calcula independentemente o mesmo HMAC e o compara com a assinatura recebida. Como apenas as partes com a chave secreta podem produzir uma assinatura válida, um HMAC correspondente prova a autenticidade e a integridade da mensagem.
-
Qual é a diferença entre HMAC-SHA256 e um hash SHA256 simples?
Um hash SHA256 simples é determinístico e público — qualquer pessoa pode calcular SHA256(dados). HMAC-SHA256 incorpora uma chave secreta ao cálculo usando uma construção de duas passagens: HMAC(k, m) = H((k ⊕ opad) || H((k ⊕ ipad) || m)). Isso significa que apenas as partes com a chave secreta podem produzir ou verificar a assinatura, tornando-a adequada para autenticação onde hashes simples não são.
-
Por que os sistemas de webhook usam assinaturas HMAC?
Webhooks entregam requisições HTTP POST de um servidor para seu endpoint. Sem autenticação, qualquer servidor poderia enviar eventos falsos. Assinaturas HMAC resolvem isso: o provedor de webhook assina o payload com um segredo compartilhado, e seu servidor recalcula o HMAC para verificar a autenticidade antes de processar o evento. GitHub, Stripe, Shopify e a maioria dos sistemas de webhook modernos usam esse padrão com HMAC-SHA256.
-
O que devo usar como mensagem para assinatura de solicitação de API?
O conteúdo da mensagem varia por API. Abordagens comuns incluem: assinar apenas o corpo da solicitação (Stripe, webhooks do GitHub), assinar uma string canônica de método + URL + timestamp + corpo (AWS Signature V4) ou assinar uma string de consulta classificada. Sempre verifique a documentação do seu provedor de API para o formato exato da string canônica, pois até mesmo diferenças de espaço em branco produzirão uma assinatura diferente.
Instale nossas extensões
Adicione ferramentas de IO ao seu navegador favorito para acesso instantâneo e pesquisa mais rápida
恵 O placar chegou!
Placar é uma forma divertida de acompanhar seus jogos, todos os dados são armazenados em seu navegador. Mais recursos serão lançados em breve!
Ferramentas essenciais
Ver tudo Novas chegadas
Ver tudoAtualizar: Nosso ferramenta mais recente foi adicionado em 13 de abr de 2026
Envolver-se
Ajude-nos a continuar fornecendo ferramentas gratuitas valiosas
