Cos'è un HMAC e come differisce da un semplice hash?

Un HMAC (Hash-based Message Authentication Code) combina un messaggio con una chiave segreta usando una funzione hash. A differenza di un hash normale, che chiunque può calcolare dando lo stesso input, un HMAC può essere verificato solo da chi conosce la chiave segreta. Questo lo rende uno strumento di autenticazione: il server può verificare che il messaggio provenga da chi possiede la chiave, senza trasmettere la chiave stessa.

Come viene usato nelle API e nei webhook?

Molte API (Stripe, GitHub, AWS) usano HMAC-SHA256 per firmare i payload dei webhook. Quando il server invia un evento, calcola HMAC-SHA256(payload, chiave_segreta) e lo include nell'header HTTP (es. X-Hub-Signature-256). Il tuo backend deve ricalcolare lo stesso HMAC e confrontarlo: se coincide, il messaggio è autentico e non è stato alterato in transito.

È sicuro inserire la chiave segreta in questo strumento?

Sì, perché tutto il calcolo avviene localmente nel browser tramite Web Crypto API. La chiave non viene mai trasmessa in rete. Tuttavia, come buona pratica, evita di usare chiavi di produzione reali in qualsiasi strumento online; usa invece chiavi di test o ambienti staging per la verifica.

I miei dati vengono inviati a server esterni?

No. Tutti gli strumenti LYNK TOOLS funzionano interamente nel browser, senza inviare file o dati a server esterni. L'elaborazione avviene localmente sul tuo dispositivo: i tuoi file restano privati e non vengono mai caricati online.

HMAC Generator

Domande frequenti

Cos'è un HMAC e come differisce da un semplice hash?

Come viene usato nelle API e nei webhook?

È sicuro inserire la chiave segreta in questo strumento?

I miei dati vengono inviati a server esterni?