NLG Systems · Demo abierta

Validá firmas de webhooks en vivo

Pegá el payload, la firma y el secret. El backend corre HMAC-SHA256 con timing-safe compare, detecta replay attacks (Stripe) y nunca guarda el secret. El payload se loguea solo como hash SHA256.

HMAC-SHA256 Timing-safe compare Replay protection Zod validation

Validar firma

Provider

Payload (JSON del webhook)

Firma (signature header)

Secret no se guarda

Validaciones recientes

Últimas 24 h. Solo el hash del payload — el contenido original nunca toca disco.

Cargando…

HMAC-SHA256 con `timingSafeEqual`

La comparación de firmas se hace byte a byte en tiempo constante para que un atacante no pueda inferir bytes de la firma midiendo el tiempo de respuesta.

Replay attack protection (Stripe)

El header Stripe-Signature incluye un timestamp. Rechazamos cualquier mensaje firmado hace más de 5 minutos: aunque un atacante intercepte una firma válida, no puede reusarla después.

Cero secrets en logs

Loguear el payload o el secret es una de las formas más comunes en que las claves se filtran. Acá el payload se hashea SHA256 antes de tocar Supabase y el secret no se loguea nunca.

Validá firmas de webhooks en vivo

HMAC-SHA256 con timingSafeEqual

Replay attack protection (Stripe)

Cero secrets en logs

HMAC-SHA256 con `timingSafeEqual`