HMAC消息认证码

在线生成HMAC消息认证码,支持MD5/SHA1/SHA256/SHA512算法,所有计算在浏览器本地完成

关于 HMAC
  • HMAC(基于哈希的消息认证码)结合密钥和哈希函数,同时验证数据完整性和来源真实性
  • 与普通哈希不同,HMAC 需要密钥,没有密钥无法伪造,常用于 API 签名、JWT 签名、Webhook 验签
  • HMAC-SHA256 是目前最常用的方案,兼顾安全性和性能
操作说明
  • 选择哈希算法,输入消息内容和密钥,点击「生成HMAC」
  • 密钥支持 UTF-8 文本或十六进制字节串两种格式
  • 输出支持 Hex、Base64、Base64URL 三种格式,可按需切换
  • 支持 Ctrl+Enter 快捷键触发生成
注意事项
  • 密钥长度建议与哈希输出长度一致(SHA256 建议 32 字节,SHA512 建议 64 字节)
  • 密钥选择「十六进制」时,只能包含 0-9a-f 字符(如 deadbeef),奇数位时会自动补0
  • 所有计算均在浏览器本地完成,消息和密钥不会上传至服务器
HMAC 知识详解
HMAC 工作原理

HMAC 的计算公式:

HMAC(K, m) = H((K' ⊕ opad) || H((K' ⊕ ipad) || m))
  • H:哈希函数(MD5/SHA1/SHA256/SHA512)
  • K:密钥,K' 为填充到块大小的密钥
  • ipad:内部填充(0x36 重复),opad:外部填充(0x5C 重复)
  • 两次哈希运算确保即使哈希函数存在长度扩展攻击,HMAC 仍然安全
各算法输出长度对比
算法输出位数Hex 长度Base64 长度安全性
HMAC-MD5128 bit32 字符24 字符⚠️ 已不推荐
HMAC-SHA1160 bit40 字符28 字符⚠️ 逐渐淘汰
HMAC-SHA256256 bit64 字符44 字符✅ 推荐
HMAC-SHA512512 bit128 字符88 字符✅ 高安全
常见应用场景
场景常用算法说明
JWT 签名HMAC-SHA256HS256 算法,签名 Header.Payload
API 请求签名HMAC-SHA256AWS SigV4、微信支付签名等
Webhook 验签HMAC-SHA256GitHub、Stripe 等平台的 Webhook 安全验证
Cookie 防篡改HMAC-SHA256对 Cookie 值签名,防止客户端篡改
文件完整性HMAC-SHA512验证文件传输过程中未被篡改
输出格式差异
格式字符集长度(SHA256)典型用途示例
Hex 0-9 a-f 64 字符 调试、日志、数据库存储 b94d27b9...
Base64 A-Z a-z 0-9 + / = 44 字符 HTTP Header、邮件传输 uU0nuZNNPgilLlLX...
Base64URL A-Z a-z 0-9 - _(无 = 43 字符 JWT、URL 参数、Cookie uU0nuZNNPgilLlLX...
  • Hex 可读性最好,但长度是 Base64 的约 1.5 倍
  • Base64 比 Hex 紧凑,但含 + / = 字符,放入 URL 时需要额外编码
  • Base64URL 是 Base64 的 URL 安全变体,将 + 替换为 -/ 替换为 _,去掉末尾 =,可直接用于 URL 和 JWT
代码示例

JavaScript(Node.js)

const crypto = require('crypto');
const hmac = crypto.createHmac('sha256', 'secret');
hmac.update('Hello World');
console.log(hmac.digest('hex'));

Python

import hmac, hashlib
h = hmac.new(b'secret', b'Hello World', hashlib.sha256)
print(h.hexdigest())

相关工具

AES加解密

AES(高级加密标准)在线加解密工具,支持AES-128、AES-192、AES-256三种密钥长度,以及CBC、ECB、CTR、OFB、CFB等多种加密模式。可自定义密钥和初始向量(IV),支持Base64与Hex两种输出格式。AES是目前最广泛使用的对称加密算法,被美国政府和众多安全协议采用。适用于密码加密存储、API通信数据保护、敏感信息传输等场景。所有加解密操作均在浏览器本地完成,数据不会上传至服务器,保障您的数据隐私安全。

ASCII编解码

ASCII在线编解码工具,支持文本与ASCII码的双向转换。可将普通文本转换为ASCII十进制、十六进制或二进制表示,也可将ASCII码还原为可读文本。支持批量处理,实时显示转换结果。ASCII(美国信息交换标准代码)是最基础的字符编码标准,包含128个字符,涵盖英文字母、数字、标点符号和控制字符。广泛应用于网络协议、文件格式解析、数据传输调试等场景。所有转换在浏览器本地完成,无需上传数据。

Base64在线编解码

Base64在线编解码工具,支持文本与Base64编码的双向转换,以及图片文件转Base64 Data URI格式。提供标准Base64和URL安全Base64(将+替换为-,/替换为_)两种模式。Base64是一种将二进制数据转换为ASCII字符串的编码方式,广泛用于电子邮件附件传输、HTTP Basic认证、JWT令牌、CSS内嵌图片、API数据传输等场景。支持批量处理大文本,实时显示编解码结果,所有操作在浏览器本地完成,保护数据隐私。

AES在线加解密工具

AES(高级加密标准)在线加解密工具,提供简洁易用的加解密界面。支持AES-128、AES-192、AES-256密钥长度,CBC、ECB等加密模式,可自定义密钥和初始向量。AES是目前最安全、应用最广泛的对称加密算法之一,被广泛用于数据库密码加密、文件加密、网络通信安全等场景。工具完全在浏览器本地运行,加解密过程不经过服务器,有效保护您的敏感数据不被泄露,是开发者和安全工程师的实用工具。

DES在线加解密工具

DES(数据加密标准)在线加解密工具,支持标准DES算法的加密和解密操作。可自定义64位密钥,支持CBC、ECB、CFB、OFB等多种加密模式,输出支持Base64和Hex格式。DES是早期广泛使用的对称加密算法,虽然现代安全场景推荐使用AES,但在遗留系统对接和学习密码学原理时仍有重要价值。工具完全在浏览器本地运行,所有加解密操作不上传数据,保护您的数据隐私安全。

Escape编解码

在线Escape编解码工具,支持JavaScript的escape()和unescape()函数对应的编解码操作。将包含特殊字符、中文、非ASCII字符的字符串转换为%XX或%uXXXX格式的编码字符串,以及将编码字符串还原为原始文本。虽然escape()在现代Web开发中已被encodeURIComponent()取代,但在处理遗留代码、Cookie值编码、某些特定协议时仍有使用场景。工具支持批量处理,实时显示编解码结果,所有操作在浏览器本地完成。

HTML转义

在线HTML转义工具,支持HTML特殊字符的转义(编码)和反转义(解码)操作。将<、>、&、"、'等HTML特殊字符转换为对应的HTML实体(&lt;、&gt;、&amp;、&quot;、&#39;),防止XSS跨站脚本攻击。也可将HTML实体还原为原始字符。在Web开发中,将用户输入内容输出到HTML页面前必须进行HTML转义,这是防止XSS攻击的基本安全措施。适用于安全测试、内容展示、代码示例展示等场景,所有处理在浏览器本地完成。

JS加解密

在线JavaScript RSA加解密工具,基于JSEncrypt库实现前端RSA非对称加密。支持使用公钥加密数据、使用私钥解密数据,密钥长度支持512位、1024位、2048位。RSA非对称加密在前端安全中广泛应用,如登录密码加密传输、敏感数据保护等场景。工具提供密钥对生成功能,可直接生成测试用的公私钥对。所有加解密操作在浏览器本地完成,私钥不会上传至服务器,保障密钥安全,是前端安全开发的实用工具。

JS加密混淆

在线JavaScript代码混淆工具,通过变量名替换、字符串加密、控制流扁平化等技术对JS代码进行混淆处理,增加代码逆向工程的难度,保护前端代码逻辑和商业秘密。支持自定义混淆强度,在代码保护程度和运行性能之间取得平衡。混淆后的代码功能完全等同于原始代码,但可读性极低,有效防止竞争对手抄袭核心算法。适用于商业前端项目、游戏逻辑保护、授权验证代码保护等场景,所有处理在浏览器本地完成。

MD5在线加密

在线MD5加密工具,支持对任意字符串生成MD5哈希值,输出32位十六进制字符串。支持大写和小写两种输出格式,可选择UTF-8或GBK编码处理中文字符。MD5(消息摘要算法5)是广泛使用的哈希函数,常用于文件完整性校验(下载文件MD5验证)、密码存储(加盐MD5)、数字签名、数据去重等场景。注意:MD5已被证明存在碰撞漏洞,不建议用于安全敏感场景,推荐使用SHA-256。所有计算在浏览器本地完成,数据不上传服务器。

摩尔斯电码

在线摩尔斯电码编解码工具,支持中文和英文文本与摩尔斯电码的双向转换。英文摩尔斯电码遵循国际标准(ITU),中文摩尔斯电码采用中文电码表(四位数字编码)。输入文本自动转换为点(·)和划(-)组成的摩尔斯电码,也可将摩尔斯电码还原为文字。摩尔斯电码是历史上最重要的通信编码之一,在无线电通信、航海、航空等领域有重要应用,也是密码学和编码学习的经典案例,所有处理在浏览器本地完成。

Native/Unicode转换

在线Native与Unicode编码互转工具,支持中文等非ASCII字符与Unicode转义序列(\uXXXX格式)的双向转换。将包含中文的文本转换为Java properties文件所需的Unicode转义格式(如"你好"转为"\u4F60\u597D"),以及将Unicode转义序列还原为可读的原始文字。在Java国际化(i18n)开发中,properties资源文件需要将非ASCII字符转换为Unicode转义序列。本工具是Java开发者处理多语言资源文件的必备工具,所有处理在浏览器本地完成。

Rabbit加解密

在线Rabbit流加密算法加解密工具,基于CryptoJS库实现。Rabbit是一种高速流加密算法,由Martin Boesgaard等人设计,以其极高的加密速度和良好的安全性著称,特别适合需要高吞吐量的加密场景。支持自定义密钥和初始向量(IV),输出支持Base64和Hex格式。Rabbit算法在嵌入式系统、实时通信加密、大数据流加密等对性能要求较高的场景中有广泛应用。所有加解密操作在浏览器本地完成,数据不上传服务器,保护数据隐私安全。

RC4加解密

在线RC4流加密算法加解密工具,基于CryptoJS库实现。RC4(Rivest Cipher 4)是由Ron Rivest设计的流加密算法,以其简单高效著称,曾被广泛用于SSL/TLS协议和WEP无线网络加密。支持自定义密钥,输出支持Base64和Hex格式。注意:RC4已被发现存在安全漏洞,现代安全协议已弃用RC4,不建议在新项目中使用。本工具主要用于遗留系统对接、密码学学习和研究目的。所有加解密操作在浏览器本地完成,数据不上传服务器。

RSA在线解密工具

在线RSA解密工具,使用RSA私钥对加密数据进行解密。支持PKCS#1和PKCS#8格式的私钥,输入支持Base64和Hex编码的密文。RSA(Rivest-Shamir-Adleman)是最广泛使用的非对称加密算法,基于大整数分解的数学难题,提供极高的安全性。RSA解密常用于接收加密通信、验证数字签名、解密会话密钥等场景。注意:私钥是高度敏感信息,本工具所有操作在浏览器本地完成,私钥不会上传至服务器,请在安全环境中使用。

RSA在线加密工具

在线RSA加密工具,使用RSA公钥对数据进行加密。支持PKCS#1和PKCS#8格式的公钥,密钥长度支持1024位、2048位、4096位,输出支持Base64和Hex编码格式。RSA非对称加密的核心优势是公钥可以公开分发,只有持有对应私钥的人才能解密,广泛用于安全通信、数字签名、密钥交换等场景。本工具适用于前端登录密码加密、API请求签名、敏感数据保护等开发场景,所有加密操作在浏览器本地完成,数据不上传服务器。

SHA在线加密

在线SHA哈希加密工具,支持SHA-1、SHA-224、SHA-256、SHA-384、SHA-512、SHA3-256、SHA3-512等多种SHA算法变体。输入任意文本,生成对应的哈希值,输出支持十六进制大写和小写格式。SHA(安全哈希算法)是目前最广泛使用的密码哈希函数族,SHA-256是比特币等区块链技术的核心算法,SHA-512提供更高安全强度。适用于密码存储(加盐哈希)、文件完整性验证、数字签名、区块链开发等场景,所有计算在浏览器本地完成,数据不上传服务器。

TripleDES在线加解密工具

在线TripleDES(3DES)加解密工具,对数据进行三次DES加密处理,提供比单次DES更高的安全强度。支持CBC、ECB等加密模式,可自定义密钥(112位或168位)和初始向量,输出支持Base64和Hex格式。TripleDES在金融行业(ATM机、POS终端、银行系统)中广泛使用,是许多金融标准(如EMV、ANSI X9.52)的指定加密算法。虽然现代系统推荐使用AES,但在与遗留金融系统对接时仍需使用3DES,所有操作在浏览器本地完成。

Unicode编解码

在线Unicode编解码工具,支持文本与Unicode码点表示(\uXXXX格式)的双向转换。将包含中文、日文、韩文、特殊符号等非ASCII字符的文本转换为Unicode转义序列,以及将Unicode转义序列还原为可读文字。Unicode是现代计算机系统的通用字符编码标准,涵盖全球所有语言的字符。本工具适用于处理多语言字符串、调试编码问题、在不支持Unicode的环境中传输多语言文本、学习字符编码原理等场景,所有处理在浏览器本地完成。

URL编码解码

在线URL编码解码工具,支持URL编码(百分号编码)和解码的双向转换。将URL中的特殊字符(空格、中文、&、=、?等)转换为%XX格式的编码,以及将编码后的URL还原为可读格式。提供encodeURI(编码完整URL)和encodeURIComponent(编码URL参数值)两种编码模式。URL编码在Web开发中不可或缺,用于处理含特殊字符的URL参数、构建API请求、处理表单提交数据等场景。工具支持批量处理,所有操作在浏览器本地完成,数据不上传服务器。

URL在线编解码

在线URL编解码工具,提供简洁易用的URL编码和解码界面。支持将包含中文、空格、特殊符号的文本进行URL编码(转换为%XX格式),以及将URL编码字符串解码还原为原始文本。特别适合处理含中文的URL参数编码、API接口调试时的参数处理、爬虫开发中的URL解析等场景。与urlcode工具互补,提供另一种简洁的操作界面,方便不同使用习惯的开发者选择,所有操作在浏览器本地完成,数据不上传服务器。

UTF-8编解码

在线UTF-8编解码工具,支持文本与UTF-8字节序列的双向转换。将文本转换为UTF-8编码的字节表示(十六进制或十进制格式),以及将UTF-8字节序列还原为可读文字。UTF-8是互联网上最广泛使用的字符编码,能够表示Unicode标准中的任意字符,中文字符通常占用3个字节。适用于调试字符编码问题、理解多字节字符的存储方式、网络协议开发中的字节处理、嵌入式系统字符处理等场景,所有处理在浏览器本地完成,数据不上传服务器。

JWT解析器

在线JWT(JSON Web Token)解析工具,将JWT字符串解码为Header、Payload、Signature三部分,格式化展示载荷中的声明(claims)信息,并显示过期时间、签发时间等关键字段。支持HS256/RS256等算法的签名验证,所有处理在浏览器本地完成,Token不上传服务器。

SSL证书解析

在线SSL/TLS证书解析工具,解析PEM格式的X.509证书,展示证书的主题(Subject)、颁发者(Issuer)、有效期、序列号、公钥算法、SAN(Subject Alternative Name)等详细信息。帮助开发者快速检查证书内容和有效性,所有处理在浏览器本地完成。

自签证书生成器

在线自签名SSL证书生成工具,可生成自签名根证书(Root CA)和服务器证书,配置CN/O/OU/C等证书信息、有效期、密钥长度(2048/4096位)和SAN多域名。支持导出PEM格式的证书和私钥,适用于本地HTTPS开发测试、内网服务器和Docker容器环境,所有处理在浏览器本地完成。

CSR证书请求生成器

在线CSR(证书签名请求)生成工具,填写证书信息(CN/O/OU/C/ST/L)后自动生成CSR文件和对应私钥,用于向CA机构申请SSL证书。支持2048/4096位RSA密钥,输出PEM格式,所有处理在浏览器本地完成,私钥不上传服务器。

图片Base64转换

在线图片与Base64互转工具,支持图片转Base64编码(Data URL格式)和Base64解码还原图片。适用于CSS内嵌图片、HTML邮件图片嵌入等场景,所有处理在浏览器本地完成。

文件哈希校验

在线文件哈希校验工具,支持计算文件的MD5、SHA-1、SHA-256、SHA-512哈希值,用于验证文件完整性和一致性。支持拖拽上传,所有计算在浏览器本地完成,文件不上传服务器。

Bcrypt哈希生成与验证

Bcrypt密码哈希在线生成与验证工具,支持自定义cost轮次(4~12),实时显示生成耗时。可验证明文密码与已有哈希是否匹配,所有计算在浏览器本地完成,数据不上传服务器。

PGP/GPG加解密

PGP/GPG在线加解密工具,支持生成RSA/ECC密钥对、加密/解密消息、签名/验签。使用OpenPGP.js实现,所有操作在浏览器本地完成,私钥不离开浏览器,保障数据安全。