— À propos de cet outil
Le HMAC (Hash-based Message Authentication Code) combine un message avec une clé secrète et une fonction de hachage pour produire une signature qui prouve à la fois l'intégrité et l'authenticité du message. Quiconque partage le secret peut recalculer le HMAC et confirmer que le message n'a pas été altéré — c'est le mécanisme qui sous-tend les signatures de webhooks (Stripe, GitHub, Slack), les cookies signés et de nombreux schémas d'authentification d'API.
Saisissez votre message et votre secret, choisissez l'algorithme de hachage et l'encodage de sortie, et la signature se met à jour à mesure que vous tapez. Elle est calculée avec l'API Web Crypto dans votre navigateur, de sorte que ni le message ni le secret ne sont jamais envoyés à un serveur. Utilisez SHA-256, sauf si une intégration spécifique l'exige autrement.
Le message et le secret ne quittent jamais votre navigateur — le HMAC est calculé en local avec l'API Web Crypto.
Questions fréquentes
Quelle est la différence entre un HMAC et un simple hachage ?
Un simple hachage (comme SHA-256) peut être calculé par n'importe qui à partir du seul message, il ne prouve donc que l'intégrité. Un HMAC y mêle en plus une clé secrète, de sorte qu'une signature valide prouve aussi que l'expéditeur connaissait le secret — c'est ce qui le rend utile pour l'authentification.
Quel algorithme dois-je utiliser ?
SHA-256 est le choix standard et ce que la plupart des API attendent. SHA-384 et SHA-512 offrent des sorties plus longues ; SHA-1 est pris en charge pour les intégrations héritées mais n'est plus recommandé pour les nouveaux systèmes.
Une sortie hex ou Base64, laquelle est préférable ?
Elles encodent les mêmes octets — choisissez celle qu'attend votre intégration. Les fournisseurs de webhooks en spécifient généralement une ; par exemple, GitHub utilise le hex, tandis que d'autres utilisent Base64.