2026-05-18 · Lectura de 1 min

Firma HMAC para webhooks

Usa un secreto compartido y un algoritmo estable: verifica en el servidor, nunca confíes solo en comprobaciones del cliente.

HMACseguridadwebhooks

Conclusiones clave

HMAC necesita una clave secreta: trata la entrada secundaria como sensible y evita registrarla.
Prefiere SHA-256 salvo que socios legacy requieran SHA-1.

Ambas partes acuerdan algoritmo (p. ej. HMAC-SHA256) y codificación (normalmente hex o Base64).

Firma los bytes crudos del cuerpo de la petición: cambios de espacios rompen la verificación.

Usa secretos de prueba en herramientas del navegador; rota secretos de producción si se pegaron por error.

Compara tu salida HMAC con la documentación del proveedor usando su payload de ejemplo.

¿HMAC es lo mismo que un hash de contraseña?

No. HMAC usa una clave secreta con el mensaje; el hash de contraseña usa sales y algoritmos lentos.

¿Puedo verificar HMAC en el navegador?

Puedes prototipar, pero la verificación en producción debe ejecutarse en el servidor con claves protegidas.