什麼是 HMAC?
HMAC(基於雜湊的訊息驗證碼)是一種加密機制,它將密鑰與雜湊函數結合,用於驗證訊息的資料完整性和真實性。
工作原理:
- 密鑰與訊息組合
- 雜湊函數(如 SHA-256)處理組合後的資料
- 產生固定長度的驗證碼
常見用途:
- API 認證:簽署 API 請求以驗證傳送者身分
- JWT 權杖:用於 HS256/HS384/HS512 演算法
- 訊息驗證:確保資料未被竄改
- Webhook 簽章:驗證 webhook 負載
安全提示:
- 始終使用強隨機密鑰
- 保持密鑰的機密性
- 新應用推薦使用 SHA-256 或更高版本
- SHA-1 被認為較弱,應避免用於安全關鍵場景