Glossar · Engineering

HMAC (Hash-based Message Authentication Code)

Ein kryptografischer Prüfwert, der mit einem geteilten Geheimnis erzeugt wird und beweist, dass eine Nachricht echt und unverändert ist.

Definition

HMAC kombiniert die Nutzdaten einer Nachricht mit einem geheimen Schlüssel und einer Hash-Funktion (meist SHA256) zu einer Signatur. Wer denselben Schlüssel hat, kann die Signatur nachrechnen und so prüfen, ob die Nachricht wirklich vom erwarteten Absender kommt und unterwegs nicht verändert wurde.

In der Praxis ist HMAC der Standard, um eingehende Webhooks abzusichern: Shopify, Stripe und viele andere signieren jeden Webhook per HMAC. Wichtig ist ein zeitkonstanter Vergleich der Signatur, damit kein Angreifer per Timing Rückschlüsse ziehen kann.

So nutzen wir das bei adsbird

Shopify-Webhooks signaturprüfen, bevor eine Bestellung weiterverarbeitet wird.

HMAC (Hash-based Message Authentication Code) in deinem Projekt?

Wir bauen damit,
jeden Tag.

Wenn du HMAC in einem konkreten Workflow brauchst, wir haben das wahrscheinlich schon gebaut.

Erstgespräch Alle Begriffe