Calculez HMAC-SHA256 (code d’authentification de message basé sur un hachage) à partir d’un message et d’une clé secrète partagée. HMAC prouve qu’une charge utile a été créée par quelqu’un qui connaît le secret sans transmettre la clé elle-même.
Fonctionnement de HMAC-SHA256
HMAC combine le secret et le message via des opérations SHA-256 imbriquées définies dans la RFC 2104. La sortie est un digest hexadécimal de longueur fixe à comparer aux signatures côté serveur pour webhooks, requêtes API ou cookies signés.
Cas d’usage courants
- Vérifier des signatures de webhooks GitHub ou Stripe en développement
- Déboguer des hachages à clé de type AWS Signature Version 4 à plus petite échelle
- Enseigner en quoi l’authentification symétrique de messages diffère d’un simple hachage SHA-256
Limites
Le secret est saisi dans le navigateur — utilisez uniquement des clés de test. HMAC-SHA256 n’est pas un chiffrement ; il authentifie l’intégrité et l’origine entre parties partageant le secret. Le format de sortie est de l’hex en minuscules sans préfixes.
Exemple
HMAC-SHA256 du message Hello avec la clé secret produit une chaîne hex de 64 caractères unique à cette paire.