Qu'est-ce que Générateur de jetons aléatoires ?

Générez des jetons aléatoires aux formats hex, base64, alphanumérique, URL-safe, numérique, avec symboles ou avec un jeu de caractères entièrement personnalisé grâce à la Web Crypto API. Utilisez-les pour les clés API, les jetons de session, les jetons CSRF, les codes PIN et OTP numériques, et les liens de réinitialisation de mot de passe nécessitant un aléa cryptographique.

Tous les octets sortent de crypto.getRandomValues, la même source que celle utilisée par le navigateur pour les clés TLS. Choisissez 16, 32, 48, 64 ou 128 octets bruts, et le panneau d'entropie indique en direct combien de bits d'aléa cela représente dans le format sélectionné. Générez jusqu'à 20 tokens d'un coup et téléchargez-les en .txt pour un provisionnement par lot.

Comment utiliser

1. Choisissez le format du jeton (hex, base64, alphanumérique, URL-safe, numérique, avec symboles ou vos propres caractères personnalisés) et la longueur souhaitée.
2. Cliquez sur générer pour créer instantanément un jeton aléatoire cryptographiquement sécurisé.
3. Copiez le jeton ou générez-en plusieurs à la fois pour un usage en masse.

Quand l'utiliser

• Émettre des clés d'API, des secrets de signature de webhooks ou des tokens d'authentification entre services.
• Créer des liens de réinitialisation de mot de passe, des tokens de confirmation d'e-mail ou des URLs de connexion à usage unique.
• Remplir des fixtures de tests avec des identifiants aléatoires réalistes qui n'entrent pas en collision.

Résultat

Générez un jeton hex de 256 bits (64 caractères) pour l'utiliser comme clé API : 'a3f8b2c1d4e5f6...', avec une entropie totale issue de crypto.getRandomValues.

FAQ

De combien d'entropie faut-il vraiment pour une clé d'API ?

128 bits, c'est le minimum pratique pour toute clé à longue durée de vie : la force brute n'a aucune chance d'aboutir. Pour la signature ou tout calcul cryptographique, prenez 32 octets (256 bits). 16 octets suffisent à un token de session court.

Quelle est la différence entre base64 et URL-Safe ?

Base64 utilise + et / ainsi qu'un padding =, qui cassent dès qu'on les colle dans une URL ou un nom de fichier. URL-Safe remplace ces caractères par - et _ et supprime le padding. Choisissez URL-Safe pour tout token destiné à une query string, un chemin ou un en-tête HTTP.

Pourquoi l'entropie alphanumérique est-elle plus faible que l'hex pour le même nombre d'octets ?

Hex et base64 placent les 8 bits de chaque octet directement dans le caractère. L'alphanumérique mappe chaque octet vers un des 62 caractères par modulo, perd environ 2 bits par octet et introduit un léger biais. Acceptable pour des IDs, faible pour des secrets cryptographiques.

Math.random() peut-il servir de repli si Web Crypto n'est pas dispo ?

Non. Math.random() est un PRNG prévisible : un attaquant qui voit quelques sorties peut reproduire les suivantes. Web Crypto est dispo dans tous les navigateurs depuis 2014 et dans tous les Node.js modernes. S'il manque, mieux vaut ne pas générer le secret.

Le même token peut-il apparaître deux fois dans mon application ?

Avec 16 octets, il faudrait émettre environ 2^64 tokens avant qu'une collision devienne probable (borne de l'anniversaire). Pour toute charge réelle, jusqu'à des milliards de tokens, la collision est statistiquement nulle et l'unicité ne nécessite pas de vérification.

Outils similaires