HMAC とは?
HMAC(ハッシュベースメッセージ認証コード)は、秘密鍵とハッシュ関数を組み合わせてメッセージのデータ整合性と真正性の両方を検証する暗号化メカニズムです。
仕組み:
- 秘密鍵とメッセージを組み合わせます
- ハッシュ関数(SHA-256 など)が組み合わせたデータを処理します
- 結果は固定サイズの認証コードになります
一般的な使用例:
- API 認証:送信者を検証するための API リクエストの署名
- JWT トークン:HS256/HS384/HS512 アルゴリズムで使用
- メッセージ検証:データが改ざんされていないことを確認
- Webhook 署名:webhook ペイロードの検証
セキュリティに関する注意:
- 常に強力でランダムな秘密鍵を使用してください
- 秘密鍵を機密に保ってください
- 新しいアプリケーションには SHA-256 以上が推奨されます
- SHA-1 は弱いと考えられており、セキュリティ上重要な用途では避けるべきです