Webhook验签工具

这是一个交互式调试工具，用于帮助你验证 HMAC-SHA256 签名算法的实现是否正确。

你可以输入自定义的密钥、时间戳和 Body，工具将实时计算出 GStable 标准的签名结果。

使用场景

• 开发阶段：验证你的后端代码生成的签名是否与此处一致。
• 调试阶段：当你收到 Invalid signature 错误时，将真实的 Webhook 数据粘贴到此处，检查问题所在。

Signing Secret (Key)

时间戳 (Header: x-gstable-timestamp)

原始请求体 (Raw Body){"eventId":"evt_001","type":"ping"}

待签名字符串 (STRING TO SIGN)

计算出的签名 (CALCULATED SIGNATURE)

---

静态测试向量

你可以将以下数据复制到你的单元测试中，以验证你的 HMAC-SHA256 实现是否正确。

• Signing Secret: wkk_test_123456
• Timestamp: 1767514235000
• Raw Body: {"eventId":"evt_001","type":"ping"}

构造的签名串 (String to Sign):

1767514235000:{"eventId":"evt_001","type":"ping"}

预期的签名 (Expected Signature):

cdd676f1366395982239396f995483244260251942962299596522522555558a

算法复习

该工具背后的计算逻辑如下：

1. 拼接字符串：Timestamp + : + RawBody
2. 加密算法：HMAC-SHA256 (标准 SHA256，非 Keccak)
3. 密钥：你的 Webhook Signing Secret (wkk_...)

如果你需要查看具体的代码实现逻辑，请阅读 安全验证。