2026-05-18 · 1 Min. Lesezeit
HMAC-Signierung für Webhooks
Gemeinsames Secret und stabiler Algorithmus – auf dem Server verifizieren, nie allein clientseitige Checks vertrauen.
Wichtige Punkte
- HMAC braucht einen Secret Key – Sekundäreingabe als sensibel behandeln und nicht loggen.
- SHA-256 bevorzugen, außer Legacy-Partner verlangen SHA-1.
Grundlagen
Beide Seiten einigen sich auf Algorithmus (z. B. HMAC-SHA256) und Encoding (meist hex oder Base64).
Die rohen Request-Body-Bytes signieren – Whitespace-Änderungen brechen die Verifikation.
Sicher debuggen
Test-Secrets in Browser-Tools nutzen; Produktions-Secrets bei versehentlichem Einfügen rotieren.
HMAC-Ausgabe mit Provider-Docs anhand ihres Beispiel-Payloads vergleichen.
Häufige Fragen
Ist HMAC dasselbe wie ein Passwort-Hash?
Nein. HMAC nutzt einen Secret Key mit der Nachricht; Passwort-Hashing nutzt Salts und langsame Algorithmen.
Kann ich HMAC im Browser verifizieren?
Prototypen ja, aber Produktionsverifikation muss serverseitig mit geschützten Keys laufen.