HMAC Signer / Webhook Verifier
Tính HMAC-SHA1/256/384/512 qua Web Crypto API. Verify signature webhook từ GitHub (X-Hub-Signature-256), Stripe (Stripe-Signature), Slack (v0=), GitLab, Shopify. Output hex/base64/base64url.
Tính HMAC qua Web Crypto API (chạy 100% trong trình duyệt). Hỗ trợ SHA-1, SHA-256, SHA-384, SHA-512. Phù hợp verify webhook signature từ GitHub, Stripe, Slack, GitLab, Shopify…
Khi nào dùng?
- Verify webhook từ provider: Stripe, GitHub, Slack, Shopify… đều ký webhook bằng HMAC. Tool giúp tính signature local để so với header.
- Debug webhook handler: handler báo "invalid signature" — paste body + secret vào đây để xem signature đúng là gì.
- Ký message API S3 / AWS: AWS Signature V4 dùng HMAC-SHA256 nhiều tầng — debug từng bước.
Preset cho 3 webhook phổ biến
| Provider | Header | Format |
|---|---|---|
| GitHub | X-Hub-Signature-256 | sha256=<hex> |
| Stripe | Stripe-Signature | t=<timestamp>,v1=<hex> — sign timestamp.body |
| Slack | X-Slack-Signature | v0=<hex> — sign v0:timestamp:body |
Best practice security
- Constant-time compare: tool đã dùng XOR-based compare để tránh timing attack. Khi tự viết handler, đừng dùng
==— dùngcrypto.timingSafeEqual(Node) hoặc constant-time string equal. - Verify timestamp: Stripe/Slack có timestamp trong header — reject nếu timestamp quá cũ (>5 phút) để chống replay attack.
- Đừng log secret: nếu nhúng vào CI/CD, dùng secret store, không hardcode.
Tool có gửi secret đi đâu không?
Không. Mọi tính toán HMAC chạy qua Web Crypto API trong trình duyệt. Bạn có thể mở DevTools → Network để kiểm tra không có request nào với payload/secret. Tắt mạng cũng vẫn chạy.
Phù hợp với ai
Lập trình viên fullstack/backend/devops — debug JWT, format JSON/SQL, parse cURL, tính subnet CIDR, vẽ diagram Mermaid, viết commit chuẩn… Toolkit dùng hằng ngày trong terminal & code editor.
Câu hỏi thường gặp
Code/token tôi paste có gửi đi đâu không?
Không. Tất cả công cụ dev của TopDev chạy 100% client-side — JWT, SQL, JSON, cURL, regex… đều xử lý trong trình duyệt. Bạn có thể tắt mạng để kiểm chứng. Phù hợp để paste token nội bộ, query database production, key API.
Có hỗ trợ offline / cài thành PWA không?
Tool đã chạy được offline sau lần load đầu tiên. PWA installable đang nằm trong roadmap — hiện tại bạn có thể bookmark trang và dùng khi mất mạng.
Công cụ liên quan
Xem tất cả công cụ →JWT Decoder
Decode JWT token, xem header/payload/claims với thời gian dễ đọc.
MỚISo sánh văn bản (Diff)
Paste 2 đoạn text/code → highlight khác biệt từng từ/dòng/ký tự. Phù hợp diff output AI.
MỚIJSON Schema Generator
Tạo JSON Schema (Draft-07) từ JSON mẫu — dùng cho structured output LLM, validate API.
MỚIFormat JSON
Format / minify / validate JSON. Sort key A-Z, custom indent, phím tắt Ctrl+Enter.