深入理解 HMAC：为什么它是 API 安全的黄金标准？

HMAC（Hash-based Message Authentication Code，基于哈希的消息认证码）是一种通过特定哈希算法，结合一个加密密钥而形成的认证码。它不仅能保证数据的 完整性 （数据未被篡改），还能实现 身份认证 （数据确实来自持有该密钥的发送者）。

普通的哈希算法（如 SHA-256）是公开且确定的。如果黑客截获了你的消息和哈希值，他们可以修改消息并重新计算一个新的哈希值发送给服务器。而 HMAC 引入了只有发送者和接收者才知道的 密钥 (Secret Key) 。没有密钥，攻击者无法伪造合法的签名，即使他们掌握了完整的哈希算法。

Webhook 验证： 当 GitHub 或 Stripe 向你的服务器发送事件通知时，它们会带上一个 HMAC 签名。使用本工具，你可以快速手动验证你的接收逻辑是否正确解析了这些签名。
API 请求鉴权： 许多云服务（如 AWS, 阿里云）要求请求参数按字典序排列并进行 HMAC 签名。调试这类复杂的签名逻辑时，本工具可以作为你的“参考答案”。
JWT (JSON Web Tokens) 调试： JWT 的第一部分和第二部分是 Base64 编码的 JSON，而第三部分正是前两部分的 HMAC 签名。本工具能助你手动校验 Token 的有效性。
本地调试，无需联网： 处理敏感的 API 密钥时，安全是首要考虑。本工具的所有计算均在浏览器内存中完成， 绝不会将您的密钥发送到互联网 。

选择强算法： 除非兼容旧系统，否则应优先选择 HMAC-SHA256 或 HMAC-SHA512 。避免使用已证实存在安全隐患的 MD5 。
密钥强度： 密钥的长度应至少与哈希算法的输出长度一致。建议使用随机生成的长字符串作为密钥。
防重放攻击： 在签名的消息中包含一个时间戳（Timestamp）或随机数（Nonce），并在服务端验证其有效性，防止攻击者拦截并重复发送合法请求。
定期更换密钥： 就像定期更改密码一样，定期轮换 API 密钥能有效降低泄露风险。

1. 配置环境： 选择服务端要求的算法（通常是 SHA256）和输出格式（Hex 是最常见的，Base64 常用于 Header）。

2. 输入数据： 粘贴你的 Secret Key 和待签名的原始消息。工具会随着你的输入实时更新结果。

3. 对比验证： 将本工具生成的签名与你代码生成的签名进行对比。如果不同，请检查消息的空格、换行符或编码是否完全一致。