Bahasa
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)
HMAC Generator

HMAC Generator

Buat dan verifikasi kode autentikasi HMAC dengan 8 algoritma (SHA-256, SHA-512, SHA3, MD5, dan lainnya). Tanda tangani serta cek signature webhook dan API secara instan.

HMAC Generator untuk Tanda Tangan dan Verifikasi

HMAC generator ini membuat Hash-based Message Authentication Code dari sebuah secret key dan pesan, langsung di browser Anda. Pasangkan pesan apa pun dengan key dan algoritma hash untuk menghasilkan kode autentikasi yang membuktikan data tetap utuh dan berasal dari seseorang yang memegang key tersebut.

Dibuat untuk developer yang menandatangani dan memverifikasi payload webhook, request API, dan JWT (HS256). Pilih dari 8 algoritma, masukkan input String, Hex, atau Base64, dan baca hasilnya sebagai Hex sekaligus Base64 — dilengkapi mode verifikasi bawaan untuk membandingkan dengan signature yang diharapkan.

Privat sejak awal: setiap HMAC dihitung sepenuhnya di browser Anda dengan pustaka CryptoJS. Secret key dan pesan Anda tidak pernah diunggah, dicatat, atau disimpan di server mana pun.

Cara Membuat HMAC

1

Pilih algoritma

Pilih algoritma hash Anda dari dropdown. SHA-256 adalah default dan pilihan tepat untuk sebagian besar webhook, API, dan JWT. MD5 dan SHA-1 tersedia untuk penggunaan lama, tetapi membawa label Tidak aman.

2

Masukkan secret key Anda

Ketik atau tempel key ke kolom Secret Key. Jika key Anda berformat biner, ubah tipe input-nya antara String, Hex, dan Base64 agar byte-nya dibaca dengan benar.

3

Masukkan pesan Anda

Tempel Pesan yang ingin Anda autentikasi — misalnya body webhook mentah. Seperti pada key, atur tipe input-nya ke String, Hex, atau Base64 agar sesuai dengan data.

4

Baca dan salin HMAC

Kode dibuat otomatis saat Anda mengetik, ditampilkan dalam Hex sekaligus Base64. Aktifkan Huruf besar untuk hex jika diperlukan, lalu klik tombol salin di samping output mana pun. Untuk mengecek nilai, aktifkan Verifikasi HMAC dan tempel signature yang diharapkan untuk mendapatkan label Cocok atau Tidak cocok secara instan.

Fitur

8 Algoritma HMAC

Buat kode dengan MD5, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA3-256, dan SHA3-512 untuk menyesuaikan integrasi apa pun.

Tipe Input Fleksibel

Key dan pesan masing-masing menerima String (UTF-8), Hex, atau Base64 — penting untuk key biner dari API.

Output Ganda Hex dan Base64

Lihat bentuk heksadesimal dan Base64 dari HMAC Anda berdampingan — tanpa perlu berganti format.

Alih Huruf Besar Hex

Ubah output hex antara huruf kecil dan huruf besar agar sesuai dengan format yang diharapkan layanan Anda.

Mode Verifikasi HMAC

Tempel nilai yang diharapkan dan langsung lihat Cocok atau Tidak cocok — menerima Hex atau Base64 serta menormalkan huruf besar/kecil dan spasi.

Label Keamanan

Algoritma lemah seperti MD5 dan SHA-1 ditandai jelas sebagai Tidak aman agar Anda menghindarinya di produksi.

Pembuatan Real-Time

HMAC diperbarui otomatis saat Anda mengetik atau menempel, dengan indikator status yang menampilkan algoritma dan panjang bit.

Salin Satu Klik

Salin output Hex atau Base64 ke clipboard Anda dengan satu klik pada tombol salin tiap format.

Data Contoh Webhook

Muat payload webhook dan secret siap pakai dengan satu klik untuk melihat persis bagaimana sebuah signature dibangun.

Pemrosesan di Sisi Klien

Semua komputasi berjalan secara lokal di browser Anda — tidak ada key atau pesan yang pernah dikirim ke server.

Pertanyaan yang Sering Diajukan

Apa itu HMAC?

HMAC (Hash-based Message Authentication Code) menggabungkan secret key dengan fungsi hash untuk menghasilkan kode autentikasi. HMAC memberi Anda integritas sekaligus autentikasi: membuktikan sebuah pesan tidak diubah dan berasal dari seseorang yang mengetahui key-nya. HMAC dipakai untuk signature webhook, penandatanganan request API (seperti AWS Signature V4), dan penandatanganan JWT (HS256).

Algoritma HMAC mana yang sebaiknya saya pakai?

SHA-256 adalah yang paling banyak dipakai dan default yang tepat untuk sebagian besar kasus — algoritma ini menggerakkan webhook Stripe, GitHub, dan Shopify serta signature API AWS. Gunakan SHA-512 saat Anda menginginkan output 512-bit yang lebih besar, atau varian SHA3 untuk standar terbaru.

Apa itu secret key pada HMAC?

Secret key adalah nilai bersama yang hanya diketahui oleh pihak-pihak yang bertukar pesan — untuk webhook, ini adalah signing secret yang diberikan penyedia Anda. Key yang sama harus dipakai untuk membuat dan memverifikasi sebuah signature; tanpanya, HMAC tidak bisa dipalsukan maupun divalidasi.

Bagaimana cara memverifikasi signature webhook?

Masukkan signing secret webhook sebagai Secret Key, tempel body request mentah sebagai Pesan, lalu pilih algoritma yang dipakai layanan Anda (biasanya SHA-256). Kemudian aktifkan Verifikasi HMAC dan tempel signature dari header webhook untuk melihat label Cocok atau Tidak cocok secara instan.

Apa beda output Hex dan Base64?

Hex menampilkan setiap byte sebagai dua karakter heksadesimal (0-9, a-f); lebih panjang tetapi mudah dibaca dan di-debug. Base64 sekitar 33% lebih pendek dan umum di header HTTP serta JWT. Alat ini menampilkan keduanya sekaligus, jadi Anda bisa menyalin format mana pun yang diharapkan API Anda.

Kapan saya harus memakai tipe input Hex atau Base64 untuk key?

Pilih Hex atau Base64 saat secret key Anda diberikan sebagai byte mentah dalam encoding tersebut — misalnya string hex dari dashboard API. Ini memberi tahu alat untuk men-decode nilai sebelum di-hash. Sebagian besar waktu, key UTF-8 biasa berarti Anda harus tetap memakai tipe input String.

Mengapa MD5 dan SHA-1 ditandai tidak aman?

MD5 dan SHA-1 memiliki kelemahan tabrakan (collision) yang sudah dikenal. Konstruksi HMAC tetap menambah perlindungan, sehingga HMAC-MD5 dan HMAC-SHA1 masih aman dalam beberapa konteks lama, tetapi praktik terbaiknya adalah memilih SHA-256 atau lebih tinggi untuk setiap implementasi baru. Itulah mengapa keduanya ditandai.

Apakah data saya aman?

Ya. Setiap HMAC dihitung sepenuhnya di browser Anda — tidak ada data yang dikirim ke server mana pun. Secret key dan pesan Anda selalu berada di perangkat Anda, dan tidak ada yang dicatat atau disimpan.

Tidak aman
Secret Key
Pesan
HMAC Output

Masukkan secret key dan pesan untuk membuat HMAC

Hex
Base64
Siap
|
Pilih algoritma dari dropdown — SHA-256 direkomendasikan untuk sebagian besar kebutuhan
Gunakan pemilih tipe input (String/Hex/Base64) saat key atau pesan Anda berformat biner
Aktifkan Verifikasi HMAC untuk membandingkan output dengan nilai yang diharapkan — mendukung Hex dan Base64
MD5 dan SHA-1 ditandai Tidak aman — pakai SHA-256 atau lebih tinggi untuk produksi
Klik Data Contoh untuk memuat contoh signature webhook
Semua komputasi terjadi di browser Anda — key dan pesan tidak pernah dikirim ke server mana pun
Ingin belajar lebih banyak? Baca dokumentasi →
1/7
Mulai ketik untuk mencari...
Mencari...
Tidak ada hasil yang ditemukan
Coba gunakan kata kunci yang berbeda