Webhook Signature Verifier

Усі інструменти

Налаштування

Статус
Очікування
Алгоритм
Кодування
Довжина payload

Що таке Webhook Signature Verifier?

Webhook Signature Verifier допомагає перевірити, чи був webhook payload підписаний правильним secret.

Це корисно під час дебагу Stripe, GitHub, Slack або власних webhook-інтеграцій, які використовують HMAC-підпис.

Як користуватися Webhook Signature Verifier

  1. Встав webhook payload.
  2. Встав secret, який використовує провайдер.
  3. Встав переданий підпис або повне значення signature header.
  4. Обери алгоритм і кодування, потім натисни «Перевірити підпис».

Поради

  • Payload має точно збігатися з raw body, який надіслав провайдер.
  • Деякі провайдери додають префікси на кшталт sha256= або v1=.
  • Якщо перевірка не проходить, перевір пробіли, переноси рядків і кодування.
  • Використовуй саме той алгоритм, який очікує твій провайдер.

Пов’язані гайди

Дізнайся workflow за цим інструментом і що перевіряти далі.

Перевірки підпису webhook перед довірою до події

Перевіряйте автентичність до обробки події як довіреної та застосовуйте правила провайдера до незміненого тіла запиту.

Збережіть raw body

Отримайте точні байти запиту до того, як JSON-парсер, форматування, перетворення переносів або middleware змінять підписані дані.

Розберіть заголовок підпису

Враховуйте правила провайдера щодо версії, timestamp, ID ключа, кодування і кількох підписів замість порівняння всього заголовка як одного дайджесту.

Обмежте повторне відтворення

Перевіряйте підписаний timestamp у короткому часовому вікні та зберігайте ID подій, якщо провайдер підтримує виявлення дублікатів.

Безпечна відповідь

Не обробляйте подію з невалідним підписом, не логуйте секрети чи чутливе тіло повністю та зробіть валідні обробники ідемпотентними.

Приватність і використання

Швидкі перевірки без акаунта

Toolinix створений для коротких developer tasks: вставити безпечний приклад, перевірити результат, скопіювати потрібне й рухатися далі.

Без логіну

Інструменти можна використовувати без акаунта, підписки на розсилку або збереження робочого простору.

Локально, коли можливо

Форматери, генератори, енкодери та текстові утиліти зазвичай працюють у браузері. Network diagnostics можуть потребувати server-assisted lookup для перевірки публічних URL, доменів або IP.

Не вставляй секрети

Не вставляй production passwords, private keys, access tokens, дані клієнтів або regulated data в онлайн-інструменти, якщо це не дозволено твоєю security policy.

Пов’язані інструменти

Можливо, тобі також стануть у пригоді ці інструменти.

FAQ про Webhook Signature Verifier

Чи може ця тулза перевіряти Stripe або GitHub webhook signatures?
Так, вона підходить для багатьох HMAC-based webhook підписів, якщо ти знаєш алгоритм, secret і raw payload.
Чи можна вставити повне значення signature header?
Так. Інструмент уміє нормалізувати поширені header-style значення.
Чому перевірка не проходить навіть із правильним secret?
Найчастіше причина в тому, що payload не збігається з оригінальним raw body або підпис був нормалізований не так.
Чи зберігаються мої webhook-дані?
Ні. Вони обробляються лише для поточного запиту.