Verificador de firmas de webhook
Opciones
¿Qué es un verificador de firmas de Webhook?
Un verificador de firma de webhook le ayuda a confirmar si una carga útil de webhook se firmó con el secreto esperado.
Esto es útil al depurar Stripe, GitHub, Slack o webhooks personalizados que usan firmas HMAC.
Cómo utilizar el verificador de firmas de Webhook
- Pegue la carga útil del webhook.
- Pegue el secreto utilizado por su proveedor.
- Pegue la firma proporcionada o el encabezado de firma completo.
- Elija el algoritmo y la codificación, luego haga clic en Verificar firma.
Consejos
- Asegúrese de que la carga útil coincida exactamente con el cuerpo bruto utilizado por el proveedor.
- Algunos proveedores incluyen prefijos como sha256= o v1= en los encabezados de las firmas.
- Si la verificación falla, verifique los espacios en blanco, los finales de línea y la codificación.
- Utilice el mismo algoritmo que espera su proveedor.
Guías relacionadas
Aprenda el workflow detrás de esta herramienta y qué revisar después.
Cómo inspeccionar problemas de autenticación JWT
Flujo JWT para revisar claims, time values, permisos y signing assumptions sin tratar decode como verification.
Cómo validar un dominio antes del lanzamiento
Flujo de lanzamiento para confirmar DNS records, señales de propiedad, cobertura SSL y security headers en el endpoint público.
Comprobaciones de firma webhook antes de confiar en un evento
Verifica la autenticidad antes de procesar un evento como confiable y aplica las reglas del proveedor al cuerpo intacto de la petición.
Conserva el cuerpo original
Captura los bytes exactos antes de que el parser JSON, el formateo, los saltos de línea o el middleware modifiquen la carga firmada.
Analiza la cabecera de firma
Sigue las reglas de versión, timestamp, ID de clave, codificación y firmas múltiples en lugar de comparar toda la cabecera como un digest.
Limita la repetición
Valida el timestamp firmado dentro de una tolerancia breve y guarda los ID de eventos cuando el proveedor permita detectar duplicados.
Responde de forma segura
Rechaza firmas inválidas sin procesar el evento, evita registrar secretos o cuerpos sensibles completos y crea handlers idempotentes.
Privacidad y uso
Comprobaciones rápidas sin cuenta
Toolinix está pensado para tareas cortas de desarrollo: pegue una muestra segura, revise el resultado, copie lo necesario y continúe.
Sin inicio de sesión
Puede usar las herramientas sin crear una cuenta, suscribirse a un boletín ni guardar un espacio de trabajo.
Local cuando es posible
Los formateadores, generadores, codificadores y utilidades de texto suelen ejecutarse en el navegador. Los diagnósticos de red pueden necesitar una consulta asistida por servidor para comprobar URLs, dominios o IPs públicos.
No pegue secretos
No pegue contraseñas de producción, claves privadas, tokens de acceso, datos de clientes ni datos regulados en herramientas online salvo que su propia política de seguridad lo permita.
Herramientas relacionadas
Estas herramientas también pueden resultarle útiles.