Générateur HMAC

Générer HMAC-SHA256 à partir d’un message et d’une clé.

Sécurité
Algorithme :

À propos de HMAC

HMAC utilise une clé secrète et une fonction de hachage (ex. SHA-256) pour produire une signature de longueur fixe. Quiconque possède la même clé peut vérifier que le message n'a pas été modifié. Utilisez-le pour les signatures d'API et la vérification de webhooks.

Comment utiliser HMAC Generator

  1. Saisissez le message que vous souhaitez authentifier dans le champ message.
  2. Saisissez votre clé secrète — celle-ci doit rester confidentielle et n'être partagée qu'avec la partie qui doit vérifier le HMAC.
  3. Sélectionnez l'algorithme : SHA-256 est le choix le plus courant ; SHA-512 offre une sécurité plus forte.
  4. Cliquez sur Calculer HMAC pour générer la signature HMAC hexadécimale.
  5. Copiez le résultat et utilisez-le dans vos requêtes API, configurations de webhooks ou implémentations de sécurité.

Fonctionnalités principales

  • Plusieurs algorithmes — Prend en charge HMAC-SHA-256, HMAC-SHA-384 et HMAC-SHA-512 pour différents besoins de sécurité.
  • API Web Crypto — Utilise la bibliothèque cryptographique native du navigateur pour un calcul conforme aux standards et performant.
  • Sortie hexadécimale — Les signatures HMAC sont affichées en format hex standard pour une intégration facile.
  • Confidentialité totale — Votre message et votre clé secrète ne quittent jamais votre navigateur. Aucun traitement serveur impliqué.
  • Adapté aux développeurs — Parfait pour tester les signatures API, déboguer la vérification de webhooks et prototyper des flux de sécurité.

Quand utiliser cet outil

  • Test de signatures de requêtes API nécessitant une authentification HMAC (ex. AWS, passerelles de paiement).
  • Vérification de payloads de webhooks provenant de services comme GitHub, Stripe ou Slack.
  • Débogage de divergences HMAC dans votre application en comparant les signatures attendues et réelles.
  • Apprentissage du fonctionnement de HMAC et expérimentation avec différents algorithmes et entrées.
  • Génération de valeurs HMAC pour la documentation, les cas de test ou les guides d'intégration.

Détails techniques

HMAC est défini dans la RFC 2104 et fonctionne en calculant H((K' ⊕ opad) || H((K' ⊕ ipad) || message)), où H est la fonction de hachage, K' est la clé complétée à la taille du bloc, et ipad/opad sont des constantes de padding fixes. Cette construction en deux passes rend HMAC résistant aux attaques par extension de longueur qui affectent les fonctions de hachage simples. L'outil utilise les méthodes crypto.subtle.importKey() et crypto.subtle.sign() de l'API Web Crypto pour le calcul HMAC. HMAC-SHA-256 produit une sortie hex de 64 caractères (256 bits), HMAC-SHA-384 produit 96 caractères hex, et HMAC-SHA-512 produit 128 caractères hex. Pour une sécurité forte, utilisez une clé d'au moins la même longueur que la sortie de hash (ex. 32 octets pour HMAC-SHA-256). Pour des outils de sécurité connexes, consultez notre Décodeur JWT et Générateur Bcrypt.

Conclusion

Le Générateur HMAC est un outil essentiel pour les développeurs permettant de calculer des codes d'authentification de message à clé directement dans votre navigateur. Que vous testiez des signatures API, vérifiez des webhooks ou appreniez l'authentification de messages, cet outil fournit un calcul HMAC rapide, confidentiel et conforme aux standards.

Questions fréquentes

Qu'est-ce que HMAC ?
HMAC (Hash-based Message Authentication Code) combine une clé secrète avec un message et les hache. Cela prouve que le message n'a pas été altéré et a été créé par quelqu'un qui connaît la clé.
Mes données sont-elles envoyées à un serveur ?
Non. HMAC est calculé entièrement dans votre navigateur avec l'API Web Crypto. Votre message et clé ne quittent jamais votre appareil.
Quand utilise-t-on HMAC ?
Souvent pour les signatures de requêtes API, les webhooks et les vérifications d'intégrité. L'émetteur et le récepteur utilisent la même clé secrète pour calculer ou vérifier le HMAC.
En quoi HMAC diffère-t-il d'un hash classique ?
Un hash classique (ex. SHA-256) peut être calculé par quiconque possède les données d'entrée. HMAC nécessite une clé secrète, de sorte que seules les parties possédant la clé peuvent générer ou vérifier la signature. Cela rend HMAC adapté à l'authentification, tandis que les hashes simples ne conviennent qu'aux vérifications d'intégrité.