什么是随机令牌生成器？

随机令牌生成器创建密码学安全的随机字符串，用于软件应用程序中的身份验证、授权和数据保护。令牌充当唯一标识符，几乎不可能被猜测或预测。

常见用途

API 密钥

验证服务和应用程序之间的请求

会话令牌

在请求间维护安全的用户会话

CSRF 令牌

防止跨站请求伪造攻击

密码重置

为账户恢复提供安全的一次性链接

Webhook 密钥

验证来自第三方服务的有效负载完整性

加密密钥

为对称加密生成随机密钥

为什么使用密码学安全的随机性？

标准随机数生成器（如 Math.random()）不适合安全目的，因为其输出可以被预测。此工具使用 Web Crypto API（crypto.getRandomValues()），它提供由操作系统熵源支持的密码学安全伪随机数。

不安全

Math.random()

输出模式可预测
不是密码学安全的
容易受到攻击
不适合令牌

安全

crypto.getRandomValues()

不可预测的随机性
密码学安全
操作系统级熵源
生产就绪的令牌

使用方法

选择格式

根据您的需求选择六种可用输出格式之一：

Hex — 密钥和哈希的标准格式

字符：0-9, a-f

API 密钥、密钥和密码哈希最常见的格式。每个字节产生 2 个十六进制字符，使其高效且广泛兼容。

Base64 — HTTP 头的紧凑编码

字符：A-Z, a-z, 0-9, +, /

HTTP 头、JWT 和电子邮件附件中常用的紧凑编码。比十六进制更节省空间。

Base64URL — URL 安全变体

字符：A-Z, a-z, 0-9, -, _

URL 安全变体，使用 - 和 _ 代替 + 和 /。无填充字符 (=)。适合 URL 和查询参数中的令牌。

字母数字 — 易于阅读和输入

字符：A-Z, a-z, 0-9

人性化格式，易于阅读、输入和交流。在所有上下文中都安全，无需担心特殊字符。

数字 — 仅数字，用于 OTP 和 PIN

字符：0-9

仅数字。完美用于一次性密码 (OTP)、PIN 码和需要在数字键盘上输入的验证码。

自定义 — 定义您自己的字符集

为特殊需求定义您自己的字符集。适用于特定领域的令牌或当您需要排除模糊字符（如 0, O, l, 1）时。

设置长度

使用滑块、输入字段或预设按钮（16、32、64、128）来设置令牌长度。

长度解释：对于 Hex、Base64 和 Base64URL，长度表示随机字节数。对于字母数字、数字和自定义格式，它表示输出字符数。

配置选项（可选）

展开高级选项来自定义您的令牌：

前缀 — 添加自定义前缀以识别令牌类型（例如 sk_live_、api_、pk_test_）
分隔符 — 每 N 个字符插入破折号或空格以提高可读性
字母大小写 — 选择小写、大写或混合大小写输出

生成

点击生成来创建您的令牌。设置数量（1-50）以批量生成多个令牌。复制单个令牌或使用全部复制一次复制整个批次。

功能

多种输出格式

生成六种格式的令牌以满足您的确切需求：

Hex 用于标准密钥
Base64 用于紧凑编码
Base64URL 用于 URL
字母数字用于可读性
数字用于 OTP
自定义字符集

灵活的长度控制

使用多种输入方法设置令牌长度：

交互式滑块
直接数字输入
一键预设（16、32、64、128）
范围：1 到 512
完全控制安全强度

批量生成

一次生成最多 50 个令牌：

每个令牌独立生成
完整的密码学随机性
复制单个令牌
一键复制整个批次

自定义前缀

添加前缀以识别令牌类型：

sk_ 用于密钥
pk_live_ 用于生产
api_ 用于 API 令牌
一目了然地区分环境

可读性选项

使长令牌更易读和比较：

添加分隔符（破折号或空格）
可配置的间隔
小写、大写或混合大小写
将令牌分解为可读的块

熵显示

了解您的令牌的安全强度：

实时熵计算（以位为单位）
立即查看安全强度
做出明智的决定
优化长度和格式

您的数据保持私密：所有令牌生成完全在您的浏览器中进行，使用 Web Crypto API。无服务器请求、无存储、无跟踪。您的令牌永远不会离开您的设备。

常见问题

我的令牌应该有多长？

对于大多数安全应用，32 字节（256 位）是推荐的。这提供了一个安全级别，在当前和可预见的技术下，计算上不可行进行暴力破解。

对于不太关键的用途（如短期会话令牌），16 字节（128 位）通常足够，仍然提供出色的安全性。

长度	熵	用例	安全级别
16 字节	128 位	会话令牌、临时代码	强
32 字节	256 位	API 密钥、长期密钥	优秀
64 字节	512 位	主密钥、关键系统	最大

我应该使用哪种格式？

Hex — 最常见的 API 密钥和密钥格式。通用兼容性。
Base64URL — 当令牌出现在 URL 或查询参数中时理想。
字母数字 — 当令牌需要手动输入或朗读时最佳。
Base64 — HTTP 头和 JWT 的紧凑编码。
数字 — 完美用于数字键盘上的 OTP 和验证码。
自定义 — 当您需要特定字符集或想排除模糊字符时。

什么是熵，为什么它很重要？

熵以位为单位衡量令牌的随机性。更高的熵意味着更多可能的组合和更强的抵抗暴力破解攻击的安全性。

一个128 位令牌有 2¹²⁸ 个可能的值 — 那是 340,282,366,920,938,463,463,374,607,431,768,211,456 种组合，超过可观测宇宙中的原子数。

安全基准：128 位被认为对可预见的未来的暴力破解攻击是安全的。即使考虑到量子计算的进步，256 位令牌仍然极其安全。

熵比较

64 位令牌弱

128 位令牌强

256 位令牌优秀

在浏览器中生成令牌安全吗？

是的，绝对安全。此工具使用 crypto.getRandomValues()，这是一个内置于所有现代浏览器中的密码学安全随机数生成器。

操作系统级熵

从操作系统的熵池中获取随机性，这是服务器端生成器使用的相同来源。

行业标准

Web Crypto API 是一个 W3C 标准，在所有主要浏览器中一致实现。

完全隐私

令牌完全在客户端生成。无网络请求、无服务器存储、无跟踪。

相同质量

提供与生产系统中使用的服务器端生成器相同质量的随机性。

为什么改变字母大小写会影响熵？

当您强制字母数字令牌全部小写或全部大写时，有效字母表从62 个字符（A-Z、a-z、0-9）缩小到36 个字符（a-z + 0-9 或 A-Z + 0-9）。

这减少了每个字符的可能组合数，因此熵相应减少。

较低熵

强制大小写（36 个字符）

小写：a-z、0-9
大写：A-Z、0-9
每个字符约 5.17 位
可能的组合较少

较高熵

混合大小写（62 个字符）

A-Z、a-z、0-9
完整的字母数字范围
每个字符约 5.95 位
最大组合数

建议：使用混合大小写（默认）以获得最大熵，除非您对单一大小写令牌有特定要求。

我可以在生产中使用这些令牌吗？

可以。此工具生成的令牌使用与生产系统依赖的相同密码学原语。但是，始终确保您的应用程序安全地处理令牌：

安全存储 — 尽可能对令牌进行哈希处理（例如，数据库中的 API 密钥）
安全传输 — 始终为令牌传输使用 HTTPS
实现过期 — 设置适当的令牌生命周期
定期轮换 — 定期重新生成长期令牌
监控使用 — 记录和审计令牌访问模式
需要时撤销 — 实现令牌撤销机制

令牌的安全性不仅取决于其随机性，还取决于您的整个系统如何处理、存储和验证它。强令牌是基础，而不是完整的解决方案。
— 安全最佳实践