2026-05-18 · 约 1 分钟阅读
Webhook 的 HMAC 签名
使用共享密钥与稳定算法——在服务端验证,不要仅依赖客户端检查。
HMAC安全Webhook
要点
- HMAC 需要密钥——将辅助输入视为敏感信息。
- 除非兼容旧系统,否则优先 SHA-256。
基础
双方约定算法(如 HMAC-SHA256)与编码(hex/base64)。
对原始请求体字节签名——空白变化会导致验签失败。
安全调试
浏览器工具仅使用测试密钥。
用服务商文档样例对比输出。
常见问题
HMAC 等于密码哈希吗?
不等。HMAC 用密钥处理消息;密码哈希使用盐与慢算法。
能在浏览器验签吗?
可原型验证,但生产验签必须在服务端使用受保护密钥。