HMAC-generator

Genereer HMAC-SHA256 uit bericht en sleutel.

Beveiliging
Algoritme:

Over HMAC

HMAC gebruikt een geheime sleutel en een hashfunctie (bijv. SHA-256) om een signature met vaste lengte te produceren. Iedereen met dezelfde sleutel kan verifiëren dat het bericht niet is gewijzigd. Gebruik het voor API-signatures en webhookverificatie.

Hoe te gebruiken HMAC Generator

  1. Voer het bericht in dat je wilt authenticeren in het berichtveld.
  2. Voer je geheime sleutel in — deze moet vertrouwelijk worden gehouden en alleen worden gedeeld met de partij die de HMAC moet verifiëren.
  3. Selecteer het algoritme: SHA-256 is de meest gangbare keuze; SHA-512 biedt sterkere beveiliging.
  4. Klik op HMAC berekenen om de hexadecimale HMAC-signature te genereren.
  5. Kopieer het resultaat en gebruik het in je API-verzoeken, webhookconfiguraties of beveiligingsimplementaties.

Belangrijkste kenmerken

  • Meerdere algoritmen — Ondersteunt HMAC-SHA-256, HMAC-SHA-384 en HMAC-SHA-512 voor verschillende beveiligingsvereisten.
  • Web Crypto API — Gebruikt de native cryptografische bibliotheek van de browser voor standaard-conforme, high-performance berekening.
  • Hexadecimale uitvoer — HMAC-signatures worden weergegeven in standaard hex-formaat voor eenvoudige integratie.
  • Volledige privacy — Je bericht en geheime sleutel verlaten nooit je browser. Geen serververwerking betrokken.
  • Ontwikkelaarsvriendelijk — Perfect voor het testen van API-signatures, debuggen van webhookverificatie en prototypen van beveiligingsflows.

Wanneer dit hulpmiddel te gebruiken

  • API-requestsignatures testen die HMAC-authenticatie vereisen (bijv. AWS, betaalgateways).
  • Webhookpayloads verifiëren van diensten zoals GitHub, Stripe of Slack.
  • HMAC-mismatches debuggen in je applicatie door verwachte en daadwerkelijke signatures te vergelijken.
  • Leren hoe HMAC werkt en experimenteren met verschillende algoritmen en invoeren.
  • HMAC-waarden genereren voor documentatie, testcases of integratiehandleidingen.

Technische details

HMAC is gedefinieerd in RFC 2104 en werkt door H((K' ⊕ opad) || H((K' ⊕ ipad) || message)) te berekenen, waarbij H de hashfunctie is, K' de sleutel opgevuld tot de blokgrootte, en ipad/opad vaste paddingconstanten zijn. Deze twee-staps constructie maakt HMAC bestand tegen length-extension-aanvallen die gewone hashfuncties treffen. De tool gebruikt de Web Crypto API's crypto.subtle.importKey()- en crypto.subtle.sign()-methoden voor HMAC-berekening. HMAC-SHA-256 produceert een 64-teken hex-uitvoer (256 bits), HMAC-SHA-384 produceert 96 hex-tekens en HMAC-SHA-512 produceert 128 hex-tekens. Gebruik voor sterke beveiliging een sleutel die minstens zo lang is als de hash-uitvoer (bijv. 32 bytes voor HMAC-SHA-256). Zie voor gerelateerde beveiligingstools onze JWT Decoder en Bcrypt Generator.

Conclusie

De HMAC Generator is een essentiële developertool voor het berekenen van sleutelgebaseerde berichtauthenticatiecodes direct in je browser. Of je nu API-signatures test, webhooks verifieert of leert over berichtauthenticatie, deze tool biedt snelle, privé en standaard-conforme HMAC-berekening.

Veelgestelde vragen

Wat is HMAC?
HMAC (Hash-based Message Authentication Code) combineert een geheime sleutel met een bericht en hasht ze. Het bewijst dat het bericht niet is gewijzigd en is gemaakt door iemand die de sleutel kent.
Worden mijn gegevens naar een server gestuurd?
Nee. HMAC wordt volledig in je browser berekend met de Web Crypto API. Je bericht en sleutel verlaten je apparaat nooit.
Wanneer wordt HMAC gebruikt?
Vaak voor API-requestsignatures, webhooks en integriteitscontroles. Zender en ontvanger gebruiken dezelfde geheime sleutel om de HMAC te berekenen of verifiëren.
Hoe verschilt HMAC van een gewone hash?
Een gewone hash (bijv. SHA-256) kan door iedereen met de invoerdata worden berekend. HMAC vereist een geheime sleutel, zodat alleen partijen die de sleutel bezitten de signature kunnen genereren of verifiëren. Dit maakt HMAC geschikt voor authenticatie, terwijl gewone hashes alleen geschikt zijn voor integriteitscontroles.