メインコンテンツへスキップ

2026-05-18 · 読了目安 1 分

Webhook 向け HMAC 署名

共有シークレットと安定したアルゴリズムを使う — サーバーで検証し、クライアント側チェックだけを信頼しない。

HMACセキュリティWebhook

重要ポイント

  • HMAC にはシークレットキーが必要 — 副入力は機密として扱い、ログに残さない。
  • レガシーパートナーが SHA-1 を要求しない限り SHA-256 を優先。

基本

双方がアルゴリズム(例: HMAC-SHA256)とエンコーディング(通常 hex または Base64)に合意する。

生のリクエストボディバイトに署名する — 空白の変更で検証が失敗する。

安全なデバッグ

ブラウザツールではテストシークレットを使う; 本番シークレットを誤って貼った場合はローテーションする。

プロバイダのサンプルペイロードで HMAC 出力をドキュメントと比較する。

よくある質問

HMAC はパスワードハッシュと同じですか?

いいえ。HMAC はメッセージとシークレットキーを使う; パスワードハッシュはソルトと遅いアルゴリズムを使う。

ブラウザで HMAC を検証できますか?

プロトタイプは可能だが、本番検証は保護されたキーでサーバー側で実行する必要がある。