Verificador de assinatura de webhook

Todas as ferramentas

Opções

Algoritmo

Codificação de assinatura

Cortar valores de entrada Analisar valor do cabeçalho da assinatura

Estado

Inativo

Algoritmo

Codificação

Comprimento da carga útil

Carga útil

Segredo Assinatura fornecida

Assinatura computada

Assinatura fornecida normalizada

Resultado JSON

O que é um verificador de assinatura Webhook?

Um verificador de assinatura de webhook ajuda a confirmar se uma carga de webhook foi assinada com o segredo esperado.

Isso é útil ao depurar Stripe, GitHub, Slack ou webhooks personalizados que usam assinaturas HMAC.

Como usar o verificador de assinatura Webhook

Cole a carga útil do webhook.
Cole o segredo usado pelo seu provedor.
Cole a assinatura fornecida ou o cabeçalho completo da assinatura.
Escolha algoritmo e codificação e clique em Verificar assinatura.

Dicas

Certifique-se de que a carga corresponda exatamente ao corpo bruto usado pelo provedor.
Alguns provedores incluem prefixos como sha256= ou v1= nos cabeçalhos de assinatura.
Se a verificação falhar, verifique os espaços em branco, os finais de linha e a codificação.
Use o mesmo algoritmo que seu provedor espera.

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Auth e segurança

Como inspecionar problemas de autenticação JWT

Fluxo JWT para revisar claims, time values, permissões e signing assumptions sem tratar decode como verification.

Ler guia

Domínios e segurança

Como validar um domínio antes do lançamento

Workflow de lançamento para confirmar DNS records, sinais de ownership, cobertura SSL e security headers no endpoint público.

Ler guia

Verificações de assinatura de webhook antes de confiar em um evento

Valide a autenticidade antes de tratar um evento como confiável e aplique as regras do provedor ao corpo intacto da requisição.

Preserve o corpo original

Capture os bytes exatos antes que o parser JSON, formatação, quebras de linha ou middleware alterem o payload assinado.

Analise o cabeçalho de assinatura

Siga as regras de versão, timestamp, ID da chave, codificação e múltiplas assinaturas em vez de comparar o cabeçalho inteiro como um digest.

Limite a repetição

Valide o timestamp assinado dentro de uma tolerância curta e armazene IDs de eventos quando o provedor permitir detectar duplicados.

Responda com segurança

Rejeite assinaturas inválidas sem processar o evento, evite registrar segredos ou corpos sensíveis completos e crie handlers idempotentes.

Privacidade e uso

Verificações rápidas sem conta

Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.

Sem login

Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.

Local quando possível

Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.

Não cole segredos

Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.