Gerador HMAC para assinaturas e verificação
Este gerador HMAC cria um Hash-based Message Authentication Code a partir de uma chave secreta e de uma mensagem, direto no seu navegador. Combine qualquer mensagem com sua chave e um algoritmo de hash para produzir um código de autenticação que prova que os dados estão íntegros e vieram de quem possui a chave.
Foi feito para quem assina e verifica payloads de webhook, requisições de API e JWTs (HS256). Escolha entre 8 algoritmos, informe a entrada em String, Hex ou Base64 e leia o resultado em Hex e Base64 ao mesmo tempo — com um modo de verificação embutido para comparar com a assinatura esperada.
Como gerar um HMAC
Escolha um algoritmo
Selecione seu algoritmo de hash na lista. SHA-256 é o padrão e a escolha certa para a maioria dos webhooks, APIs e JWTs. MD5 e SHA-1 estão disponíveis para uso legado, mas trazem o selo Inseguro.
Informe sua chave secreta
Digite ou cole a chave no campo Chave secreta. Se a chave for binária, troque o tipo de entrada dela entre String, Hex e Base64 para que os bytes sejam lidos corretamente.
Informe sua mensagem
Cole a Mensagem que você quer autenticar — por exemplo, o corpo bruto de um webhook. Assim como na chave, defina o tipo de entrada dela como String, Hex ou Base64 para combinar com os dados.
Leia e copie o HMAC
O código é gerado automaticamente conforme você digita, exibido em Hex e Base64. Ative Maiúsculas para o hex se precisar, e clique no botão de copiar ao lado de qualquer saída. Para conferir um valor, ative Verificar HMAC e cole a assinatura esperada para ver um selo Confere ou Não confere na hora.
Recursos
8 algoritmos HMAC
Gere códigos com MD5, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA3-256 e SHA3-512 para atender qualquer integração.
Tipos de entrada flexíveis
A chave e a mensagem aceitam String (UTF-8), Hex ou Base64 — essencial para chaves binárias vindas de APIs.
Saída dupla em Hex e Base64
Veja lado a lado a forma hexadecimal e a Base64 do seu HMAC — sem alternar entre formatos.
Alternar Hex em maiúsculas
Troque a saída hex entre minúsculas e maiúsculas para combinar com o formato que seu serviço espera.
Modo de verificação HMAC
Cole um valor esperado e veja na hora Confere ou Não confere — aceita Hex ou Base64 e normaliza maiúsculas/minúsculas e espaços.
Rótulos de segurança
Algoritmos fracos como MD5 e SHA-1 são claramente sinalizados como Inseguro para você evitá-los em produção.
Geração em tempo real
O HMAC se atualiza automaticamente conforme você digita ou cola, com um indicador de status mostrando o algoritmo e o tamanho em bits.
Cópia em um clique
Copie a saída em Hex ou Base64 para a área de transferência com um único clique no botão de copiar de cada formato.
Dados de exemplo de webhook
Carregue um payload de webhook e um segredo prontos com um clique para ver exatamente como uma assinatura é construída.
Processamento no navegador
Todo o cálculo roda localmente no seu navegador — nenhuma chave ou mensagem é enviada a um servidor.
Perguntas frequentes
O que é HMAC?
HMAC (Hash-based Message Authentication Code) combina uma chave secreta com uma função de hash para produzir um código de autenticação. Ele oferece integridade e autenticação ao mesmo tempo: prova que uma mensagem não foi adulterada e que veio de quem conhece a chave. É usado em assinaturas de webhook, assinatura de requisições de API (como o AWS Signature V4) e assinatura de JWT (HS256).
Qual algoritmo HMAC devo usar?
SHA-256 é o mais usado e o padrão certo para a maioria dos casos — ele move os webhooks da Stripe, do GitHub e da Shopify, além das assinaturas de API da AWS. Use SHA-512 quando quiser uma saída maior, de 512 bits, ou as variantes SHA3 para o padrão mais recente.
O que é a chave secreta no HMAC?
A chave secreta é um valor compartilhado conhecido apenas pelas partes que trocam mensagens — em webhooks, é o segredo de assinatura que seu provedor fornece. A mesma chave precisa ser usada para gerar e para verificar uma assinatura; sem ela, o HMAC não pode ser forjado nem validado.
Como verifico a assinatura de um webhook?
Informe o segredo de assinatura do webhook como Chave secreta, cole o corpo bruto da requisição como Mensagem e selecione o algoritmo que seu serviço usa (normalmente SHA-256). Em seguida, ative Verificar HMAC e cole a assinatura do cabeçalho do webhook para ver um selo Confere ou Não confere na hora.
Qual a diferença entre a saída em Hex e em Base64?
O Hex mostra cada byte como dois caracteres hexadecimais (0-9, a-f); é mais longo, porém fácil de ler e depurar. O Base64 é cerca de 33% mais curto e comum em cabeçalhos HTTP e JWTs. Esta ferramenta exibe os dois ao mesmo tempo, para você copiar o formato que sua API espera.
Quando devo usar o tipo de entrada Hex ou Base64 para chaves?
Selecione Hex ou Base64 quando sua chave secreta for fornecida como bytes brutos nessa codificação — por exemplo, uma string hex de um painel de API. Isso diz à ferramenta para decodificar o valor antes de gerar o hash. Na maioria das vezes, uma chave em UTF-8 simples significa que você deve manter o tipo de entrada String.
Por que MD5 e SHA-1 são marcados como inseguros?
MD5 e SHA-1 têm fraquezas de colisão conhecidas. A construção do HMAC ainda adiciona proteção, então HMAC-MD5 e HMAC-SHA1 continuam seguros em alguns contextos legados, mas a boa prática é escolher SHA-256 ou superior para qualquer nova implementação. É por isso que ambos são sinalizados.
Meus dados estão seguros?
Sim. Cada HMAC é calculado inteiramente no seu navegador — nenhum dado é enviado a qualquer servidor. Suas chaves secretas e mensagens permanecem no seu dispositivo o tempo todo, e nada é registrado ou armazenado.
Ainda não há comentários. Seja o primeiro a comentar!