—关于 令牌生成器
很多场景需要一段无法被猜测的随机字符串:会话 token、API Key、密码重置链接、CSRF 防护值等。本工具用浏览器的 crypto.getRandomValues 这一密码学安全随机源生成令牌,而非 Math.random,确保不可预测。你可以自定义长度、字符集(字母数字、Hex、URL 安全 Base64 等),一次批量生成多条。所有随机数都在本地产生,不经过网络,生成后立即可用于配置文件或环境变量。 建议在日常开发中收藏本工具,需要生成密钥或哈希值时即可快速打开使用。所有计算均在浏览器本地完成,敏感数据不会上传,可放心操作。
使用场景
- 生成 API Key — 为新接入的服务签发一串高熵随机密钥,写入配置后分发给调用方。
- 会话/重置 token — 生成密码重置或邮箱验证链接里的一次性 token,配合过期时间使用。
- CSRF/Nonce — 为表单或 CSP 生成随机 nonce,防止跨站请求伪造和脚本注入。
- 初始化密钥占位 — 为新项目的 .env 生成 SECRET_KEY、JWT_SECRET 等占位值。
- 批量邀请码 — 一次生成成百上千条互不重复的随机邀请码或激活码。
常见问题
这些随机数足够安全吗?
是。本工具使用 Web Crypto 的 crypto.getRandomValues,这是浏览器提供的密码学安全伪随机数生成器(CSPRNG),适合生成密钥级别的令牌,远优于 Math.random。
令牌应该多长?
经验法则是至少 128 位熵。例如 32 个十六进制字符约 128 位,22 个 Base64 字符约 128 位。安全敏感场景建议用到 256 位(64 个 Hex 字符)。
URL 安全字符集是什么意思?
标准 Base64 含有 +、/、= 这些在 URL 里需转义的字符。URL 安全变体用 - 和 _ 替换,并去掉填充,可直接放进链接或文件名而不被破坏。
生成的令牌会不会重复?
在足够长度下,碰撞概率小到可忽略。但本工具不维护历史记录,如需全局唯一约束,请在你的数据库上加唯一索引兜底。
和 UUID 有什么区别?
UUID 有固定格式和版本语义,长度固定 128 位;本工具生成的是可自定义长度和字符集的纯随机串,更灵活。需要标准标识符时可用本站的 UUID 生成器。
有浏览器兼容性要求吗?
本工具兼容所有现代浏览器(Chrome、Firefox、Edge、Safari),无需安装任何插件或扩展。
可以离线使用吗?
首次加载后,部分功能在离线状态下仍可使用。页面资源加载后,核心逻辑完全在浏览器本地运行,不依赖网络。