HMAC (Hash Message Authentication Code) is een vorm van berichtauthenticatie waarbij twee stukken betrokken zijn, een cryptografische hashfunctie en een geheim dat gedeeld wordt tussen twee partijen.

De cryptografische kwaliteit van de methode hangt af van de gekozen cryptografische hashfunctie en de kwaliteit van het gedeelde geheim.
HMAC SHA256 gebruikt twee passages van hashberekeningen. Eerst wordt de gedeelde sleutel gebruikt om twee sleutels af te leiden (binnenste en buitenste). In de eerste ronde genereert HMAC-SHA256 een hash op basis van de sleutel en het bericht. In de tweede ronde produceren we de uiteindelijke HMAC op basis van de vorige gevonden hash en de tweede afgeleide sleutel.

HMAC garandeert data-integriteit en authenticiteit. Aangezien beide partijen een private sleutel hebben gedeeld, zal de ene partij bij ontvangst van het bericht (met de hash van de andere partij) de hash opnieuw berekenen en controleren of deze overeenkomt met de hash die de andere partij heeft verzonden. Dat betekent dat het inderdaad de andere partij is die het bericht heeft verzonden, aangezien niemand anders toegang heeft tot de privésleutel.