Rechner Welt
🇩🇪DE🇬🇧EN

HMAC-Generator 2026

Stand April 2026
Geprueft von Finanzrechner-Redaktion, Redaktion Tools|Stand: April 2026|Quellen: RFC 2104 — HMAC, Web Crypto API — sign, OWASP Webhook Security

Erzeugt HMAC-SHA-256, -SHA-512 und -SHA-1 fuer Webhooks und API-Signaturen — alles im Browser via Web Crypto.

Das Tool nutzt crypto.subtle.importKey und crypto.subtle.sign zur HMAC-Berechnung. Standard ist HMAC-SHA-256 (RFC 2104), das von Stripe, GitHub und vielen anderen Webhook-APIs verwendet wird.

HMAC erscheint hier

So funktioniert HMAC

HMAC verknuepft den Schluessel zweimal in eine Hash-Berechnung: HMAC(K, m) = H((K' XOR opad) || H((K' XOR ipad) || m)). Damit ist der Output an Schluessel und Nachricht gebunden.

Algorithmus und Format

Output-Laenge entspricht der Hash-Funktion: 160 Bit (SHA-1), 256 Bit (SHA-256), 512 Bit (SHA-512). Codiert wird meist Hex oder Base64.

Anwendungsfaelle

Webhook-Authentifizierung (Stripe Signature, GitHub X-Hub-Signature-256, Slack Signing Secret), JWT-HS256, AWS Signature Version 4, Cookie-Signierung.

Datenschutz

Keine Server-Calls. Schluessel bleibt im Browser.

Typische Fehler

  • Schluessel im Frontend hardcoded — Webhook-Verifikation gehoert serverseitig.
  • Vergleich per "==" — anfaellig fuer Timing-Attacks, Constant-Time-Compare nutzen.
  • Body-Encoding-Mismatch — exakter Byte-Stream wie geliefert hashen.

Häufige Fragen

HMAC steht fuer Hash-based Message Authentication Code. Es kombiniert eine Hashfunktion mit einem geheimen Schluessel, um Echtheit und Integritaet einer Nachricht zu beweisen.
Reine Hashes wie SHA-256 sichern nur Integritaet, keinen Absender. HMAC fuegt einen Schluessel hinzu — nur wer den Schluessel kennt, kann denselben HMAC reproduzieren.
HMAC-SHA-256 ist heute der De-facto-Standard fuer Webhooks (Stripe, GitHub, Slack), API-Signaturen und JWT (HS256).
Mindestens so lang wie der Hash-Output. Fuer HMAC-SHA-256 also 32 Byte Zufallsdaten oder eine starke Passphrase.
Webhook-Verifikation, JWT-Signatur (HS256), TLS-Cipher-Suiten, AWS-API-Signaturen, Cookie-Signierung in Frameworks.
Nein, alles laeuft im Browser via Web Crypto API.
Nein. HMAC sichert Authentizitaet, verschluesselt aber nichts. Fuer Verschluesselung AES-GCM oder ChaCha20-Poly1305 nutzen.
256 Bit, dargestellt als 64 Hex-Zeichen.

Verwandte Tools

🔐SHA-256-Generator🔐JWT-Decoder🔐Bcrypt-Generator

Alle Tools laufen vollständig im Browser, es werden keine eingegebenen Daten an einen Server übertragen. Ohne Gewähr — keine Rechts-, Steuer- oder Finanzberatung.

Letzte Aktualisierung: April 2026 | Quellen: RFC 2104 — HMAC, Web Crypto API — sign, OWASP Webhook Security