Mengapa guna penjana token ini?
- Mod selamat menggunakan CSPRNG (crypto.getRandomValues) secara lalai.
- Jana token base64url, hex atau set aksara sendiri dari satu halaman.
- Lihat anggaran entropi dan risiko perlanggaran untuk tetapan anda.
- Kongsi tetapan dengan selamat: pautan kongsi tidak pernah mengandungi token yang dijana.
Cara guna (3 langkah)
- Pilih format (base64url / hex / set aksara sendiri).
- Tetapkan panjang dan bilangan, kemudian jana.
- Salin, simpan atau kongsi pautan yang hanya mengandungi tetapan.
Jana
Penjana token
Pilih format dan panjang, jana secara pukal, kemudian salin, simpan atau kongsi tetapan (bukan token).
Hasil
Aliran kerja token yang disyorkan
Pilih mod rawak yang betul
Gunakan mod selamat untuk kunci API, kod jemputan, pautan tetapan semula dan apa-apa yang memberi akses. Gunakan mod seed hanya apabila anda perlukan data ujian yang boleh diulang untuk ujian, dokumentasi atau demo.
Padankan panjang dan pengekodan dengan destinasi
32 bait ialah permulaan praktikal untuk banyak token. Hex mudah disemak, base64url lebih pendek untuk pautan dan fail konfigurasi, manakala abjad sendiri hanya berguna apabila sistem lain memerlukan set aksara terhad.
Kongsi tetapan, bukan rahsia
Pautan kongsi menyimpan tetapan penjana sahaja. Token yang dijana kekal dalam pelayar, jadi salin token akhir ke peti simpanan atau sistem sasaran, bukan ke tiket, sembang atau URL.
Semakan pantas sebelum digunakan
- Pastikan sistem penerima menerima abjad dan panjang yang dipilih.
- Gunakan mod selamat untuk apa-apa yang mengesahkan identiti atau memberi akses.
- Jana semula segera jika token masuk ke log, tangkap layar atau URL awam.
Soalan Lazim
Adakah ini selamat?
Mod selamat menggunakan crypto.getRandomValues. Mod seed hanya untuk ujian boleh ulang dan tidak selamat.
Berapa bait patut digunakan untuk kunci API?
Asas biasa ialah 32 bait (256 bit). Untuk margin keselamatan lebih besar, anda boleh gunakan 48 atau 64 bait.
Apakah base64url?
Base64url ialah base64 yang disesuaikan untuk URL: + menjadi -, / menjadi _, dan padding (=) boleh dibuang.
Adakah token yang dijana disimpan atau dimuat naik?
Tidak. Semuanya berjalan setempat dalam pelayar. Token tidak dimuat naik dan tidak disimpan secara lalai.
Mengapa pautan kongsi tidak mengandungi token?
Rahsia dalam URL boleh bocor melalui sejarah, log dan perujuk. Alat ini hanya berkongsi tetapan, tidak pernah berkongsi token.