Base64 编码到底在做什么:从原理到日常用途的完整说明
讲清楚 Base64 把 3 个字节变成 4 个字符的原理,图片内联、邮件附件、Data URI 这些常见用途,以及它为什么不是加密、URL-safe 变体怎么用、本地处理为何更安全。
Base64 编码到底在做什么:从原理到日常用途的完整说明
写代码这些年,我见过太多人把 Base64 当成某种安全手段,把密码 Base64 一下就觉得藏好了。这其实是误会。Base64 从头到尾只解决一个问题:把二进制字节,变成只用可见字符表示的文本,这样它就能安全地穿过那些只认文本的通道。理解了这一点,后面所有的用途和注意事项都顺理成章。
3 个字节为什么变成 4 个字符
Base64 的核心算法很朴素。它把输入按每 3 个字节(24 比特)分一组,再把这 24 比特切成 4 份,每份 6 比特。6 比特能表示 0 到 63 共 64 个值,正好对应一张 64 个字符的表:大写 A 到 Z、小写 a 到 z、数字 0 到 9,再加上 + 和 /。于是 3 个字节就映射成 4 个可打印字符。
这也解释了一个直接后果:体积会变大。3 字节变 4 字符,理论增幅是 4/3,也就是约 33%。RFC 4648 这份标准文档把整套字母表和填充规则都写得很清楚,如果你想追到源头,它是唯一权威。所以一个 9 MB 的文件编码后大约会变成 12 MB 的文本,这个膨胀在内联大资源时要特别留意。
当输入长度不是 3 的倍数时,最后一组凑不满,就用 = 补齐,让输出长度始终是 4 的倍数。这个 = 不是随便加的,它告诉解码器最后一组里实际有几个有效字节。
一个最小的真实例子
说一千道一万,不如看一次实际转换。拿字符串 Hi 来编码,它是两个字节 0x48 和 0x69。两个字节只有 16 比特,凑不齐 24,所以补一个 = 号。最终结果是:
Hi → SGk=反过来把 SGk= 解码,又能精确还原成 Hi。再看一个更短的:单个字符 f 只有 1 字节,会被编成 Zg==,末尾是两个等号。你可以在 Base64 编码 / 解码工具 里直接粘贴验证,中文、Emoji 这类多字节内容也能正确往返,因为它走的是 TextEncoder 而不是裸 btoa。
它真正派上用场的地方
Base64 最常见的舞台,是那些"只能传文本"的场景。
图片内联是典型。一个 1 KB 的小图标 SVG,与其单独发一次 HTTP 请求,不如编码成 Data URI 直接写进 CSS 的 background-image,少一次往返,资源路径改了也不会 404。邮件附件也是这个道理,SMTP 协议历史上只可靠传输 ASCII 文本,所以图片、PDF 这些二进制附件全靠 Base64 包装后才能塞进邮件正文。
还有 HTTP 的 Basic Auth 头。把 admin:s3cret 编码成 YWRtaW46czNjcmV0,贴到 Authorization: Basic 后面就能用,这一步可以直接在 Basic Auth 头生成器 里完成。Kubernetes 的 Secret 字段、JWT 的各段,本质上也都是 Base64 文本。
它不是加密,这点必须说清楚
回到开头那个误会。YWRtaW46czNjcmV0 看着像乱码,但任何人拿到它,不需要密码、不需要密钥,直接一解就还原成 admin:s3cret。Base64 是公开、可逆、无密钥的编码,它从设计上就没打算保密任何东西。
如果你的内容真的需要保密,正确做法是先用 AES 文本加密工具 加密,只在传输层要求纯文本时,再把加密后的字节做一层 Base64。把这两件事分开,逻辑才不会出错。
URL-safe 变体解决了什么
标准 Base64 的字符集里有 + 和 /,这两个字符在 URL 里有特殊语义,直接塞进查询参数会被解析坏,必须额外做 percent-encode,很容易出岔子。
为此 RFC 4648 §5 定义了 URL-safe 变体:把 + 换成 -、/ 换成 _,并去掉末尾的 = 填充。这样输出就能直接放进 URL 路径或查询字符串,不需要任何转义。JWT、各种 URL token 用的都是这个变体。需要注意的是,解码通常能自动识别两套字母表,所以读一段 base64url 时不必先切换开关;开关真正影响的是编码方向的输出形式。
本地处理意味着你的数据不外流
最后说一点我很看重的:隐私。一个靠谱的 Base64 工具,所有编解码都该在浏览器本地用原生的 btoa/atob 和 TextEncoder/TextDecoder 完成,不发任何网络请求,拖进去的文件只通过 FileReader 在本地读取。
这意味着当你编码一段密码、一个 token 或一份私有配置时,内容不会被上传、记录或转发到任何第三方服务器。这正是本地工具相比某些在线服务的根本优势:你不必赌对方的服务器有没有记日志。
理解了原理,你会发现 Base64 既不神秘也不万能。它只是一座桥,把二进制安全地渡过文本通道。需要桥时它很好用,需要锁时,请另找加密工具。
Made by Toolora · Updated 2026-06-13