Idioma
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)

Gere e verifique códigos de autenticação HMAC com 8 algoritmos (SHA-256, SHA-512, SHA3, MD5 e mais). Assine e confira assinaturas de webhook e API na hora.

Gerador HMAC para assinaturas e verificação

Este gerador HMAC cria um Hash-based Message Authentication Code a partir de uma chave secreta e de uma mensagem, direto no seu navegador. Combine qualquer mensagem com sua chave e um algoritmo de hash para produzir um código de autenticação que prova que os dados estão íntegros e vieram de quem possui a chave.

Foi feito para quem assina e verifica payloads de webhook, requisições de API e JWTs (HS256). Escolha entre 8 algoritmos, informe a entrada em String, Hex ou Base64 e leia o resultado em Hex e Base64 ao mesmo tempo — com um modo de verificação embutido para comparar com a assinatura esperada.

Privado por design: cada HMAC é calculado inteiramente no seu navegador com a biblioteca CryptoJS. Suas chaves secretas e mensagens nunca são enviadas, registradas ou armazenadas em nenhum servidor.

Como gerar um HMAC

1

Escolha um algoritmo

Selecione seu algoritmo de hash na lista. SHA-256 é o padrão e a escolha certa para a maioria dos webhooks, APIs e JWTs. MD5 e SHA-1 estão disponíveis para uso legado, mas trazem o selo Inseguro.

2

Informe sua chave secreta

Digite ou cole a chave no campo Chave secreta. Se a chave for binária, troque o tipo de entrada dela entre String, Hex e Base64 para que os bytes sejam lidos corretamente.

3

Informe sua mensagem

Cole a Mensagem que você quer autenticar — por exemplo, o corpo bruto de um webhook. Assim como na chave, defina o tipo de entrada dela como String, Hex ou Base64 para combinar com os dados.

4

Leia e copie o HMAC

O código é gerado automaticamente conforme você digita, exibido em Hex e Base64. Ative Maiúsculas para o hex se precisar, e clique no botão de copiar ao lado de qualquer saída. Para conferir um valor, ative Verificar HMAC e cole a assinatura esperada para ver um selo Confere ou Não confere na hora.

Recursos

8 algoritmos HMAC

Gere códigos com MD5, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA3-256 e SHA3-512 para atender qualquer integração.

Tipos de entrada flexíveis

A chave e a mensagem aceitam String (UTF-8), Hex ou Base64 — essencial para chaves binárias vindas de APIs.

Saída dupla em Hex e Base64

Veja lado a lado a forma hexadecimal e a Base64 do seu HMAC — sem alternar entre formatos.

Alternar Hex em maiúsculas

Troque a saída hex entre minúsculas e maiúsculas para combinar com o formato que seu serviço espera.

Modo de verificação HMAC

Cole um valor esperado e veja na hora Confere ou Não confere — aceita Hex ou Base64 e normaliza maiúsculas/minúsculas e espaços.

Rótulos de segurança

Algoritmos fracos como MD5 e SHA-1 são claramente sinalizados como Inseguro para você evitá-los em produção.

Geração em tempo real

O HMAC se atualiza automaticamente conforme você digita ou cola, com um indicador de status mostrando o algoritmo e o tamanho em bits.

Cópia em um clique

Copie a saída em Hex ou Base64 para a área de transferência com um único clique no botão de copiar de cada formato.

Dados de exemplo de webhook

Carregue um payload de webhook e um segredo prontos com um clique para ver exatamente como uma assinatura é construída.

Processamento no navegador

Todo o cálculo roda localmente no seu navegador — nenhuma chave ou mensagem é enviada a um servidor.

Perguntas frequentes

O que é HMAC?

HMAC (Hash-based Message Authentication Code) combina uma chave secreta com uma função de hash para produzir um código de autenticação. Ele oferece integridade e autenticação ao mesmo tempo: prova que uma mensagem não foi adulterada e que veio de quem conhece a chave. É usado em assinaturas de webhook, assinatura de requisições de API (como o AWS Signature V4) e assinatura de JWT (HS256).

Qual algoritmo HMAC devo usar?

SHA-256 é o mais usado e o padrão certo para a maioria dos casos — ele move os webhooks da Stripe, do GitHub e da Shopify, além das assinaturas de API da AWS. Use SHA-512 quando quiser uma saída maior, de 512 bits, ou as variantes SHA3 para o padrão mais recente.

O que é a chave secreta no HMAC?

A chave secreta é um valor compartilhado conhecido apenas pelas partes que trocam mensagens — em webhooks, é o segredo de assinatura que seu provedor fornece. A mesma chave precisa ser usada para gerar e para verificar uma assinatura; sem ela, o HMAC não pode ser forjado nem validado.

Como verifico a assinatura de um webhook?

Informe o segredo de assinatura do webhook como Chave secreta, cole o corpo bruto da requisição como Mensagem e selecione o algoritmo que seu serviço usa (normalmente SHA-256). Em seguida, ative Verificar HMAC e cole a assinatura do cabeçalho do webhook para ver um selo Confere ou Não confere na hora.

Qual a diferença entre a saída em Hex e em Base64?

O Hex mostra cada byte como dois caracteres hexadecimais (0-9, a-f); é mais longo, porém fácil de ler e depurar. O Base64 é cerca de 33% mais curto e comum em cabeçalhos HTTP e JWTs. Esta ferramenta exibe os dois ao mesmo tempo, para você copiar o formato que sua API espera.

Quando devo usar o tipo de entrada Hex ou Base64 para chaves?

Selecione Hex ou Base64 quando sua chave secreta for fornecida como bytes brutos nessa codificação — por exemplo, uma string hex de um painel de API. Isso diz à ferramenta para decodificar o valor antes de gerar o hash. Na maioria das vezes, uma chave em UTF-8 simples significa que você deve manter o tipo de entrada String.

Por que MD5 e SHA-1 são marcados como inseguros?

MD5 e SHA-1 têm fraquezas de colisão conhecidas. A construção do HMAC ainda adiciona proteção, então HMAC-MD5 e HMAC-SHA1 continuam seguros em alguns contextos legados, mas a boa prática é escolher SHA-256 ou superior para qualquer nova implementação. É por isso que ambos são sinalizados.

Meus dados estão seguros?

Sim. Cada HMAC é calculado inteiramente no seu navegador — nenhum dado é enviado a qualquer servidor. Suas chaves secretas e mensagens permanecem no seu dispositivo o tempo todo, e nada é registrado ou armazenado.

Inseguro
Chave secreta
Mensagem
HMAC Saída

Informe uma chave secreta e uma mensagem para gerar o HMAC

Hex
Base64
Pronto
|
Escolha um algoritmo na lista — SHA-256 é recomendado para a maioria dos casos
Use os seletores de tipo de entrada (String/Hex/Base64) quando a chave ou a mensagem estiver em formato binário
Ative Verificar HMAC para comparar sua saída com um valor esperado — aceita Hex e Base64
MD5 e SHA-1 são marcados como Inseguro — use SHA-256 ou superior em produção
Clique em Dados de exemplo para carregar um exemplo de assinatura de webhook
Todo o cálculo acontece no seu navegador — suas chaves e mensagens nunca são enviadas a servidor
Quer saber mais? Leia a documentação →
1/7
Comece a digitar para pesquisar...
Pesquisando...
Nenhum resultado encontrado
Tente pesquisar com palavras-chave diferentes