— حول هذه الأداة
يجمع HMAC (رمز مصادقة الرسائل القائم على التجزئة) بين رسالة ومفتاح سري ودالة تجزئة لإنتاج توقيع يثبت سلامة الرسالة وأصالتها معًا. يستطيع أي شخص يشارك السرّ إعادة حساب HMAC والتأكد من أن الرسالة لم تُعبَث بها — وهي الآلية الكامنة وراء توقيعات الـwebhook (Stripe وGitHub وSlack) والكوكيز الموقّعة والعديد من أنظمة مصادقة الـAPI.
أدخل رسالتك ومفتاحك السري، واختر خوارزمية التجزئة وترميز الإخراج، وسيتحدّث التوقيع أثناء الكتابة. يُحسب باستخدام Web Crypto API داخل متصفحك، لذا لا تُرسَل الرسالة ولا السرّ إلى أي خادم على الإطلاق. استخدم SHA-256 ما لم يتطلّب تكامل معيّن خلاف ذلك.
لا تغادر الرسالة والسرّ متصفحك أبدًا — يُحسب HMAC محليًا باستخدام Web Crypto API.
الأسئلة الشائعة
ما الفرق بين HMAC والتجزئة العادية؟
التجزئة العادية (مثل SHA-256) يمكن لأي شخص حسابها من الرسالة وحدها، لذا فهي تثبت السلامة فقط. أما HMAC فيمزج أيضًا مفتاحًا سريًا، لذا فإن التوقيع الصحيح يثبت كذلك أن المُرسِل كان يعرف السرّ — وهذا ما يجعله مفيدًا للمصادقة.
أيّ خوارزمية ينبغي أن أستخدم؟
SHA-256 هي الخيار القياسي وما تتوقّعه معظم واجهات الـAPI. توفّر SHA-384 وSHA-512 مخرجات أكبر؛ أما SHA-1 فمدعومة من أجل عمليات التكامل القديمة لكنها لم تعد موصى بها للأنظمة الجديدة.
هل الإخراج بصيغة hex أفضل أم Base64؟
كلاهما يرمّز البايتات نفسها — اختر ما يتوقّعه تكاملك. عادةً ما يحدّد مزودو الـwebhook صيغة واحدة؛ على سبيل المثال يستخدم GitHub صيغة hex، بينما يستخدم بعض الآخرين Base64.