Glossar · Engineering
Ein kryptografischer Prüfwert, der mit einem geteilten Geheimnis erzeugt wird und beweist, dass eine Nachricht echt und unverändert ist.
Definition
HMAC kombiniert die Nutzdaten einer Nachricht mit einem geheimen Schlüssel und einer Hash-Funktion (meist SHA256) zu einer Signatur. Wer denselben Schlüssel hat, kann die Signatur nachrechnen und so prüfen, ob die Nachricht wirklich vom erwarteten Absender kommt und unterwegs nicht verändert wurde.
In der Praxis ist HMAC der Standard, um eingehende Webhooks abzusichern: Shopify, Stripe und viele andere signieren jeden Webhook per HMAC. Wichtig ist ein zeitkonstanter Vergleich der Signatur, damit kein Angreifer per Timing Rückschlüsse ziehen kann.
So nutzen wir das bei adsbird
Shopify-Webhooks signaturprüfen, bevor eine Bestellung weiterverarbeitet wird.
Verwandte Begriffe
Wo wir HMAC im Detail erklären
HMAC (Hash-based Message Authentication Code) in deinem Projekt?
Wenn du HMAC in einem konkreten Workflow brauchst, wir haben das wahrscheinlich schon gebaut.