2026-05-18 · 1 मिनट पढ़ाई
webhooks के लिए HMAC signing
shared secret और stable algorithm use करें — server पर verify करें, client-side checks alone पर भरोसा न करें।
HMACsecuritywebhooks
मुख्य बिंदु
- HMAC को secret key चाहिए — secondary input sensitive मानें और logging avoid करें।
- legacy partners SHA-1 न माँगें तो SHA-256 prefer करें।
मूल बातें
दोनों पक्ष algorithm (जैसे HMAC-SHA256) और encoding (आमतौर पर hex या Base64) पर agree करते हैं।
raw request body bytes sign करें — whitespace changes verification तोड़ते हैं।
सुरक्षित debugging
browser tools में test secrets use करें; production secrets गलती से paste हों तो rotate करें।
provider docs के sample payload से अपना HMAC output compare करें।
अक्सर पूछे जाने वाले प्रश्न
क्या HMAC password hash जैसा है?
नहीं। HMAC message के साथ secret key use करता है; password hashing salt और slow algorithms use करता है।
क्या browser में HMAC verify कर सकता हूँ?
prototype possible है, लेकिन production verification protected keys के साथ server-side चलनी चाहिए।