2026-05-18 · 1 min de leitura

Assinatura HMAC para webhooks

Use um segredo compartilhado e algoritmo estável — verifique no servidor, nunca confie só em checagens no cliente.

HMACsegurançawebhooks

Pontos principais

HMAC precisa de chave secreta — trate a entrada secundária como sensível e evite logar.
Prefira SHA-256 a menos que parceiros legados exijam SHA-1.

Ambos os lados concordam com algoritmo (ex.: HMAC-SHA256) e codificação (geralmente hex ou Base64).

Assine os bytes brutos do corpo da requisição — mudanças de espaços quebram a verificação.

Use segredos de teste em ferramentas do navegador; rotacione segredos de produção se colados acidentalmente.

Compare sua saída HMAC com a documentação do provedor usando o payload de exemplo deles.

HMAC é o mesmo que hash de senha?

Não. HMAC usa chave secreta com a mensagem; hash de senha usa salts e algoritmos lentos.

Posso verificar HMAC no navegador?

Pode prototipar, mas verificação em produção deve rodar no servidor com chaves protegidas.