— Acerca de esta herramienta
HMAC (Hash-based Message Authentication Code) combina un mensaje con una clave secreta y una función hash para producir una firma que demuestra tanto la integridad como la autenticidad del mensaje. Cualquiera que comparta el secreto puede recalcular el HMAC y confirmar que el mensaje no fue manipulado: es el mecanismo que hay detrás de las firmas de webhooks (Stripe, GitHub, Slack), las cookies firmadas y muchos esquemas de autenticación de API.
Introduce tu mensaje y secreto, elige el algoritmo de hash y la codificación de salida, y la firma se actualiza a medida que escribes. Se calcula con la Web Crypto API en tu navegador, de modo que ni el mensaje ni el secreto se envían nunca a un servidor. Usa SHA-256 a menos que una integración concreta requiera lo contrario.
El mensaje y el secreto nunca salen de tu navegador: el HMAC se calcula localmente con la Web Crypto API.
Preguntas frecuentes
¿Cuál es la diferencia entre un HMAC y un hash simple?
Un hash simple (como SHA-256) cualquiera puede calcularlo a partir del mensaje por sí solo, por lo que únicamente demuestra la integridad. Un HMAC también incorpora una clave secreta, de modo que una firma válida demuestra además que el remitente conocía el secreto: eso es lo que lo hace útil para la autenticación.
¿Qué algoritmo debería usar?
SHA-256 es la opción estándar y lo que esperan la mayoría de las API. SHA-384 y SHA-512 ofrecen salidas más grandes; SHA-1 es compatible para integraciones heredadas, pero ya no se recomienda para sistemas nuevos.
¿Es mejor la salida en hex o en Base64?
Codifican los mismos bytes: elige la que espere tu integración. Los proveedores de webhooks suelen especificar una; por ejemplo, GitHub usa hex, mientras que algunos otros usan Base64.