HMAC คืออะไร?
HMAC (รหัสการตรวจสอบความถูกต้องของข้อความที่ใช้แฮช) เป็นกลไกการเข้ารหัสที่รวมคีย์ลับกับฟังก์ชันแฮชเพื่อตรวจสอบทั้งความสมบูรณ์ของข้อมูลและความถูกต้องของข้อความ
วิธีการทำงาน:
- คีย์ลับถูกรวมกับข้อความ
- ฟังก์ชันแฮช (เช่น SHA-256) ประมวลผลข้อมูลที่รวมกัน
- ผลลัพธ์คือรหัสการตรวจสอบความถูกต้องขนาดคงที่
กรณีการใช้งานทั่วไป:
- การตรวจสอบสิทธิ์ API: การเซ็นคำขอ API เพื่อตรวจสอบผู้ส่ง
- โทเค็น JWT: ใช้ในอัลกอริทึม HS256/HS384/HS512
- การตรวจสอบข้อความ: ตรวจสอบให้แน่ใจว่าข้อมูลไม่ถูกแก้ไข
- ลายเซ็น Webhook: ตรวจสอบความถูกต้องของเพย์โหลด webhook
ข้อควรระวังด้านความปลอดภัย:
- ใช้คีย์ลับที่แข็งแกร่งและสุ่มเสมอ
- รักษาคีย์ลับของคุณให้เป็นความลับ
- แนะนำให้ใช้ SHA-256 หรือสูงกว่าสำหรับแอปพลิเคชันใหม่
- SHA-1 ถือว่าอ่อนแอและควรหลีกเลี่ยงสำหรับการใช้งานที่สำคัญด้านความปลอดภัย