מה זה HMAC?
HMAC (קוד אימות הודעות מבוסס Hash) הוא מנגנון קריפטוגרפי המשלב מפתח סודי עם פונקציית hash כדי לאמת הן את שלמות הנתונים והן את האותנטיות של הודעה.
איך זה עובד:
- המפתח הסודי משולב עם ההודעה
- פונקציית hash (כמו SHA-256) מעבדת את הנתונים המשולבים
- התוצאה היא קוד אימות בגודל קבוע
מקרי שימוש נפוצים:
- אימות API: חתימה על בקשות API לאימות השולח
- טוקני JWT: נעשה שימוש באלגוריתמים HS256/HS384/HS512
- אימות הודעה: הבטחה שהנתונים לא שונו
- חתימות Webhook: אימות מטענים של webhook
הערות אבטחה:
- תמיד השתמש במפתח סודי חזק ואקראי
- שמור על סודיות המפתח הסודי שלך
- SHA-256 או גבוה יותר מומלץ עבור יישומים חדשים
- SHA-1 נחשב חלש ויש להימנע ממנו לשימושים קריטיים לאבטחה