基于密钥的消息认证码计算 免费在线工具,无需登录、无需注册。
本地运行个人数据安全
Loading Tool Engine
使用说明与技术 FAQ
分步操作与原理说明使用说明
- 输入待签名或待校验的原始消息(注意是否与对端约定为「原始字节」还是 UTF-8 文本)。
- 填写与对端完全一致的密钥材料;从文件导入时注意是否包含末尾换行或 BOM。
- 选择算法(如 HMAC-SHA256);与对端文档核对是否允许 SHA384/512 或禁止弱算法。
- 生成签名后按约定格式复制:常见为 Hex、Base64、Base64URL,大小写策略也要一致。
- 校验时同时确认消息、密钥、算法、输出编码四元组,任一项不同都会导致「验签失败」。
- 大消息会先占用内存再哈希,建议先在小样本上打通再批量处理。
- 与 REST API 联调时核对 canonical string 规则:是否包含 HTTP 方法、路径、query 排序等。
- 多语言互操作时注意字符串规范化(NFC/NFD)与空白折叠,避免「肉眼相同、字节不同」。
- 需要可复现实验时,把输入与密钥(脱敏后)的最小片段留给同事对齐字节级一致。
- 用毕清空密钥输入;勿在公共设备上处理生产 HMAC 密钥。
- 先阅读页面标题与简介,确认当前工具覆盖的场景与你的任务一致(避免用错工具导致理解偏差)。
- 在输入区粘贴或键入数据;若页面提供「示例 / 模板」,可先载入再替换为自己的内容以熟悉输出格式。
相关技术知识
- HMAC = 哈希函数作用于「密钥与消息」的构造结果,输出长度由底层哈希决定。
- 安全性依赖密钥熵与哈希抗碰撞性;短密钥或弱口令会显著降低有效强度。
- 输出编码(Hex/Base64)是展示层变换,比较签名前要在同一编码空间对比。
- 时序安全比较应在生产用恒定时间 API;浏览器内纯 JS 比较对高威胁场景不足。
- 与 HKDF/PBKDF2 等不同:HMAC 本身不是密钥派生函数,勿混用术语。
- 部分平台用 HMAC 做 webhook 签名,header 名与 `sha256=` 前缀需与文档一致。
- 重复使用的密钥跨业务会扩大泄露面;建议按服务或租户隔离密钥材料。
- WebCrypto 子集在不同浏览器可用算法列表略有差异,跨端要实测。
- 本页计算在本地完成,采用安全处理架构保障个人数据安全(以页面说明为准)。
- 合规场景下记录所用哈希算法与编码规范,便于事后验算与审计。
- 本类工具的核心解析与计算在浏览器端执行,默认不把原始业务载荷持久化到本站服务器(具体以页面隐私说明为准)。
- 处理管线通常为:读取输入 → 词法/语法或结构化解析 → 规则变换 → 格式化输出;任一步失败都会尽量给出可定位错误信息。