예시
입력 (Message + Secret + Signature + 알고리즘)
Message: GET /api/orders Secret: your-256-bit-secret Signature: f4a4d5e1c8d2b3a9... Algorithm: SHA-256
결과
✓ 서명 일치 — 메시지가 secret 으로 서명되었음 확인
참고
constant-time 비교 — 첫 다른 바이트에서 early return 하지 않아 timing attack 회피. webhook payload 검증 (Stripe/GitHub/Slack) 시 동일 패턴 필수.
사용법 / 자주 묻는 질문
이런 경우 사용하세요
- Stripe / GitHub / Slack webhook payload 의 X-Signature 검증
- AWS Signature V4 디버깅 — 예상 서명과 실제 서명 비교
- API 요청 서명 검증 로직 로컬 테스트
- JWT HS256 토큰의 서명 부분 직접 검증
- HMAC Generator (짝) 결과를 즉시 다시 검증 — 양방향 워크플로
자주 묻는 질문
- Q.왜 constant-time 비교가 중요한가요?
- A.단순 `==` 비교는 첫 다른 바이트에서 early return — 그 시간 차이를 측정하면 한 글자씩 정답을 추측할 수 있는 timing attack 가능. 본 도구는 모든 바이트를 XOR 합산해 일정 시간에 비교.
- Q.서명이 Base64 인데요?
- A.현재 hex 입력만 지원합니다. Base64 서명은 Base64 → bytes → hex 한 번 변환 후 사용하세요 (Base64 도구로 디코딩 → 다시 hex 인코딩). 후속 작업에서 Base64 직접 지원 검토 중.
- Q.secret 이 외부로 전송되나요?
- A.아닙니다 — Web Crypto API 의 `crypto.subtle.importKey` + `subtle.sign` 모두 브라우저에서만 동작. secret · message · signature 어느 것도 yutils 서버나 외부 API 로 나가지 않습니다.
재미있는 사실
Stripe, GitHub, Slack, Twilio 등 거의 모든 webhook 가 HMAC 서명을 사용합니다. 받은 payload 와 signature 를 비교해 변조 여부 + 발신자 진위 확인 — 'shared secret 으로 비대칭 인증' 패턴의 사실상 표준.
Stripe — Webhook signaturesHMAC 검증의 핵심은 constant-time 비교 (`crypto.timingSafeEqual`). 단순 `===` 비교는 첫 다른 바이트에서 early return 해 timing side-channel 을 남깁니다 — 네트워크 너머에서 통계적 분석 가능. 2009년 Keyczar 의 Lawson 취약점이 유명한 사례.
Wikipedia — Timing attackReplay attack 방지를 위해 signature 만으로는 부족 — timestamp 도 같이 서명하고 5분 이상 지난 요청을 거부해야 합니다. Stripe 의 `t=` + `v1=` 형식은 timestamp + signature 를 한 헤더에 담아 보내 이 패턴을 표준화한 좋은 사례.
Stripe — Verify webhook
관련 가이드
- JWT 완벽 가이드 — 구조·검증·안전한 사용법
JWT 의 header·payload·signature 구조부터 검증·시크릿 로테이션·자주 빠지는 보안 함정까지 한 번에.
- HMAC 웹훅 검증 — Stripe·GitHub·Slack 의 서명 검증 패턴
웹훅에 왜 HMAC 서명이 필요한지, Stripe·GitHub·Slack 이 어떻게 페이로드를 서명하는지, constant-time 비교·재전송 방어·단계별 검증 구현까지.
- Webhook · Polling · SSE · WebSocket — 실시간 패턴 선택 가이드
지연·비용·복잡도·실패 모드로 4 가지 실시간 패턴 비교. Webhook·Polling·SSE·WebSocket 의 적절한 선택 기준과 fallback 전략.
관련 도구
- Base64 인코딩 / 디코딩
텍스트를 Base64로 인코딩하거나 디코딩합니다. 브라우저에서 즉시 실행되며 서버로 데이터가 전송되지 않습니다.
- URL 인코딩 / 디코딩
URL에 사용할 수 있도록 텍스트를 퍼센트 인코딩하거나 인코딩된 URL을 디코딩합니다. 브라우저에서 즉시 실행됩니다.
- UUID / ULID 생성기
UUID v4(랜덤) · UUID v7(시간 순서, RFC 9562) · ULID를 브라우저에서 생성합니다.
- JWT 디코더
JWT(JSON Web Token)의 header와 payload를 디코딩하여 표시합니다. 서명 검증은 수행하지 않으며(공개키 필요), 토큰은 브라우저에서만 처리됩니다.
- JWT 생성기 (HMAC)
HS256/HS384/HS512(HMAC-SHA) 알고리즘으로 서명된 JWT를 생성합니다. payload·secret 모두 브라우저에서만 처리 — Web Crypto API 기반.
- SHA 해시
텍스트의 SHA-1·SHA-256·SHA-384·SHA-512 해시를 계산합니다. 브라우저의 Web Crypto API를 사용하며 데이터가 서버로 전송되지 않습니다.
- Hex 인코딩 / 디코딩
텍스트를 16진수로 인코딩하거나 디코딩합니다. UTF-8을 자동 처리하며 공백을 무시합니다.
- HTML 엔티티 인코딩 / 디코딩
HTML 특수 문자(&, <, >, ", ')를 엔티티로 인코딩하거나, 이름/숫자 엔티티를 텍스트로 디코딩합니다.
- 비밀번호 생성기
암호학적으로 안전한 비밀번호·토큰·랜덤 문자열·패스프레이즈를 생성하고 엔트로피를 표시합니다.
- 진수 변환기
BigInt 기반으로 큰 정수까지 2/8/10/16/36진수 변환. 0b/0o/0x 자동 감지.
- URL 파서
URL을 프로토콜·호스트·경로·쿼리·해시로 분해해 한눈에 보여줍니다 (읽기 전용).
- HMAC 생성기
Web Crypto API로 SHA-1/256/384/512 HMAC을 계산합니다. 서명·검증 키 기반.
- MD5 해시
텍스트의 MD5 해시를 계산합니다. 주의: MD5는 보안용으로 부적합 — 체크섬·레거시 호환에만 사용.
- Punycode (국제화 도메인)
한글·다국어 도메인을 Punycode(xn-- ASCII)로 상호 변환합니다. 브라우저 native URL 사용.
- HTTP 상태 코드
HTTP 상태 코드(1xx-5xx)를 검색·탐색합니다. 설명과 일반 사용 사례 포함.
- User-Agent 파서
User-Agent 문자열을 브라우저·OS·기기·엔진별로 분해합니다.
- Bcrypt 해시
Bcrypt로 비밀번호를 해시하거나 기존 해시와 평문을 검증합니다. salt rounds 조정 가능.
- 쿠키 파서
Cookie 또는 Set-Cookie 문자열을 표로 분해합니다. percent-encoded 값 복원 + Set-Cookie 속성(Path/Domain/Max-Age/SameSite/HttpOnly/Secure) 인식.
- IP / CIDR 계산기
IPv4 주소와 CIDR로 네트워크 주소·브로드캐스트·호스트 범위·서브넷 마스크·호스트 수를 계산합니다.
- cURL 빌더
URL·method·헤더·본문으로 cURL 명령을 만듭니다. JSON content-type 자동.