什么是 HMAC?
HMAC(基于哈希的消息认证码)是一种加密机制,它将密钥与哈希函数结合,用于验证消息的数据完整性和真实性。
工作原理:
- 密钥与消息组合
- 哈希函数(如 SHA-256)处理组合后的数据
- 生成固定长度的认证码
常见用途:
- API 认证:签名 API 请求以验证发送者身份
- JWT 令牌:用于 HS256/HS384/HS512 算法
- 消息验证:确保数据未被篡改
- Webhook 签名:验证 webhook 负载
安全提示:
- 始终使用强随机密钥
- 保持密钥的机密性
- 新应用推荐使用 SHA-256 或更高版本
- SHA-1 被认为较弱,应避免用于安全关键场景