2026-05-18 · 1 min leestijd

HMAC-signering voor webhooks

Gebruik een gedeeld geheim en stabiel algoritme — verifieer op de server, vertrouw nooit alleen client-side checks.

HMACbeveiligingwebhooks

Belangrijkste punten

HMAC vereist een geheime sleutel — behandel secundaire input als gevoelig en log het niet.
Geef de voorkeur aan SHA-256 tenzij legacy partners SHA-1 vereisen.

Beide kanten stemmen af op algoritme (bijv. HMAC-SHA256) en encoding (meestal hex of Base64).

Teken de ruwe request body bytes — whitespace-wijzigingen breken verificatie.

Gebruik test secrets in browsertools; roteer productiesecrets bij per ongeluk plakken.

Vergelijk je HMAC-output met providerdocs met hun sample payload.

Is HMAC hetzelfde als een password hash?

Nee. HMAC gebruikt een geheime sleutel met het bericht; password hashing gebruikt salts en trage algoritmen.

Kan ik HMAC in de browser verifiëren?

Prototypen kan, maar productieverificatie moet server-side met beschermde keys draaien.