🎲

令牌生成器

使用自定义字符集与指定长度生成加密安全的随机令牌,支持十六进制、Base64 及包含特殊字符的输出格式,适用于 API 密钥、访问令牌、邀请码与临时会话凭证生成,可灵活满足不同业务场景下的安全强度与长度要求。

非常强 · 191 位
令牌
32 字符·62 字符池大小·≈ 191 位熵

关于 令牌生成器

很多场景需要一段无法被猜测的随机字符串:会话 token、API Key、密码重置链接、CSRF 防护值等。本工具用浏览器的 crypto.getRandomValues 这一密码学安全随机源生成令牌,而非 Math.random,确保不可预测。你可以自定义长度、字符集(字母数字、Hex、URL 安全 Base64 等),一次批量生成多条。所有随机数都在本地产生,不经过网络,生成后立即可用于配置文件或环境变量。 建议在日常开发中收藏本工具,需要生成密钥或哈希值时即可快速打开使用。所有计算均在浏览器本地完成,敏感数据不会上传,可放心操作。

使用场景

  • 生成 API Key — 为新接入的服务签发一串高熵随机密钥,写入配置后分发给调用方。
  • 会话/重置 token — 生成密码重置或邮箱验证链接里的一次性 token,配合过期时间使用。
  • CSRF/Nonce — 为表单或 CSP 生成随机 nonce,防止跨站请求伪造和脚本注入。
  • 初始化密钥占位 — 为新项目的 .env 生成 SECRET_KEY、JWT_SECRET 等占位值。
  • 批量邀请码 — 一次生成成百上千条互不重复的随机邀请码或激活码。

常见问题

这些随机数足够安全吗?

是。本工具使用 Web Crypto 的 crypto.getRandomValues,这是浏览器提供的密码学安全伪随机数生成器(CSPRNG),适合生成密钥级别的令牌,远优于 Math.random。

令牌应该多长?

经验法则是至少 128 位熵。例如 32 个十六进制字符约 128 位,22 个 Base64 字符约 128 位。安全敏感场景建议用到 256 位(64 个 Hex 字符)。

URL 安全字符集是什么意思?

标准 Base64 含有 +、/、= 这些在 URL 里需转义的字符。URL 安全变体用 - 和 _ 替换,并去掉填充,可直接放进链接或文件名而不被破坏。

生成的令牌会不会重复?

在足够长度下,碰撞概率小到可忽略。但本工具不维护历史记录,如需全局唯一约束,请在你的数据库上加唯一索引兜底。

和 UUID 有什么区别?

UUID 有固定格式和版本语义,长度固定 128 位;本工具生成的是可自定义长度和字符集的纯随机串,更灵活。需要标准标识符时可用本站的 UUID 生成器。

有浏览器兼容性要求吗?

本工具兼容所有现代浏览器(Chrome、Firefox、Edge、Safari),无需安装任何插件或扩展。

可以离线使用吗?

首次加载后,部分功能在离线状态下仍可使用。页面资源加载后,核心逻辑完全在浏览器本地运行,不依赖网络。