2026-05-18 · 1분 읽기
webhook용 HMAC 서명
공유 secret과 안정적인 algorithm을 사용하세요 — 서버에서 verify하고 client-side check만 믿지 마세요.
HMAC보안webhooks
핵심 요점
- HMAC에는 secret key가 필요합니다 — secondary input을 민감 정보로 취급하고 logging을 피하세요.
- legacy partner가 SHA-1을 요구하지 않는 한 SHA-256을 선호하세요.
기본
양쪽이 algorithm(예: HMAC-SHA256)과 encoding(보통 hex 또는 Base64)에 합의합니다.
raw request body bytes에 서명하세요 — whitespace 변경은 verification을 깨뜨립니다.
안전한 디버깅
브라우저 도구에는 test secret을 사용하고, production secret을 실수로 붙여넣으면 rotate하세요.
제공자 샘플 payload로 HMAC 출력을 docs와 비교하세요.
자주 묻는 질문
HMAC은 password hash와 같나요?
아닙니다. HMAC은 message와 secret key를 쓰고, password hashing은 salt와 slow algorithm을 씁니다.
브라우저에서 HMAC verify할 수 있나요?
프로토타입은 가능하지만 production verification은 보호된 key로 server-side에서 실행해야 합니다.