Webhook署名検証シミュレーター (HMAC)｜HMAC-SHA256等の署名をオンラインで手軽にデバッグ

Webhook実装時の署名検証で「なぜか署名が一致しない」という問題をデバッグするための開発者向けオンラインツールです。ペイロードとシークレットキーからHMAC署名をリアルタイムに計算し、受信した署名との比較・検証をブラウザ上で安全に行えます。

💡 ツール概要

このツールは、Stripe、GitHub、Shopifyなど、多くのサービスで採用されているWebhookのHMAC署名検証プロセスをシミュレートし、開発の効率化を支援します。

• リアルタイム署名計算 ペイロードとシークレットキーを入力すると、指定されたハッシュアルゴリズム（SHA-256, SHA-512, SHA-1）に基づいてHMAC署名を即座に計算します。
• 自動一致検証と差分表示 受信した署名と計算結果を自動で比較し、一致・不一致を明確に表示。不一致の場合は、どこが違うのかを文字単位でハイライトするため、デバッグが容易になります。
• 安全なクライアントサイド処理 入力されたシークレットキーやペイロードはサーバーに送信されず、すべてお使いのブラウザ内で処理が完結するため、機密情報を安全に取り扱うことができます。
• 多様な署名形式に対応 sha256=... や v1=... のようなプレフィックス付きの署名ヘッダーをそのまま貼り付けても、自動的にハッシュ部分を抽出して比較します。

🧐 よくある質問

Q. 署名が不一致になる一般的な原因は何ですか？

A. 最も多い原因は、署名を計算する際のペイロードの僅かな違いです。例えば、JSONを文字列化する際の不要な空白や改行の有無、キーの順序、Unicode文字のエンコード方法などがサーバー側の実装と異なると、署名は一致しません。このツールを使って、サーバーが受け取った「生のペイロード」と全く同じ文字列で署名を計算し、期待値を確認するのに役立ちます。

Q. シークレットキーを入力しても安全ですか？

A. はい、安全です。このツールは全ての計算をJavaScriptのWeb Crypto APIを用いてブラウザ内で行います。シークレットキー、ペイロード、署名を含むいかなるデータもサーバーには一切送信されません。

Q. 対応しているハッシュアルゴリズムは何ですか？

A. Webhookで広く利用されているHMAC-SHA256に加え、HMAC-SHA512とHMAC-SHA1に対応しています。サービス側の仕様に合わせてアルゴリズムを選択してください。

📚 Webhook署名の豆知識

Webhookの署名検証は、二つの重要なセキュリティ目的を果たします。一つはメッセージ認証で、リクエストが本当に意図した送信者（例: Stripe）から送られてきたものであることを保証します。もう一つはメッセージ完全性の担保で、リクエストのペイロードが送信経路上で第三者によって改ざんされていないことを確認します。

この検証に用いられるHMAC (Hash-based Message Authentication Code) は、単なるハッシュ関数（例: SHA-256）とは異なり、ペイロードと共有の「シークレットキー」を組み合わせてハッシュ値を計算します。これにより、シークレットキーを知らない第三者は有効な署名を生成できないため、なりすましや改ざんを防ぐことができるのです。Webhookを安全に運用するためには、この署名検証は不可欠な実装と言えます。