API 签名生成器
指导
API 签名生成器
为 webhook 验证、API 身份验证和请求签名生成基于 HMAC 的 API 请求签名。支持使用纯文本或十六进制格式的密钥,支持 HMAC-SHA1、HMAC-SHA256 和 HMAC-SHA512,输出十六进制和 Base64 签名,可立即在 HTTP 标头或查询参数中使用。
如何使用
输入要签名的数据或消息(通常是请求正文、URL 或规范字符串),提供您的密钥,选择密钥格式(纯文本或十六进制),然后选择 HMAC 算法。签名会立即以十六进制和 Base64 格式显示。使用内置示例查看实际的 webhook 签名场景。
特征
- 3 种算法 – HMAC-SHA1, HMAC-SHA256 (默认), HMAC-SHA512
- 双密钥格式 – 纯文本或十六进制密钥
- 双重输出 – 签名同时支持十六进制和 Base64 编码
- 实时生成 – 输入时签名会即时更新
- 示例预设 – 一键式 webhook 签名示例,助您入门
- 仅客户端 – 您的密钥永远不会离开浏览器
常问问题
-
基于 HMAC 的 API 身份验证是如何工作的?
HMAC(基于哈希的消息身份验证码)身份验证的工作原理是双方共享一个密钥。发送方计算 HMAC(secret, message) 并将结果作为签名标头发送。接收方独立计算相同的 HMAC 并将其与收到的签名进行比较。由于只有拥有密钥的各方才能生成有效签名,因此匹配的 HMAC 可证明消息的真实性和完整性。
-
HMAC-SHA256 和普通 SHA256 哈希之间有什么区别?
普通 SHA256 哈希是确定性的、公开的——任何人都可以计算 SHA256(data)。HMAC-SHA256 使用双重构造将密钥纳入计算:HMAC(k, m) = H((k ⊕ opad) || H((k ⊕ ipad) || m))。这意味着只有拥有密钥的各方才能生成或验证签名,使其适用于需要身份验证而普通哈希不适用的场景。
-
为什么 Webhook 系统使用 HMAC 签名?
Webhook 将 HTTP POST 请求从服务器传递到您的端点。如果没有身份验证,任何服务器都可以发送伪造的事件。HMAC 签名解决了这个问题:Webhook 提供商使用共享密钥对负载进行签名,您的服务器会重新计算 HMAC 以验证真实性,然后再处理该事件。GitHub、Stripe、Shopify 以及大多数现代 Webhook 系统都使用这种 HMAC-SHA256 模式。
-
API 请求签名应该使用什么作为消息?
消息内容因 API 而异。常见的方法包括:仅签名请求正文(Stripe、GitHub Webhooks)、签名方法+URL+时间戳+正文的规范字符串(AWS Signature V4)或签名排序后的查询字符串。请务必查阅 API 提供商的文档,了解其确切的规范字符串格式,因为即使是空格的差异也会产生不同的签名。
