API key 怎么生成?

选一个前缀(或不选),挑一个字符集,设好随机段长度,点生成。做一把典型的密钥,sk_live_ 配 base62、长度 32,约有 190 位熵,远在暴力破解能力之外。完整密钥是前缀加随机段,所以 sk_live_ 加 32 个字符读起来像 sk_live_4f9Kp2...。密钥用 crypto.getRandomValues 在本地生成,你复制一次,服务端只存它的哈希。

sk_live_ 这种前缀是什么意思?

前缀是给人看的路由元数据,不是秘密的一部分。这套写法由 Stripe 带火:sk 表示 secret key(私密密钥),pk 表示 publishable key(可公开密钥),live 和 test 标记环境。当一把密钥泄进日志或公开提交,前缀能让自动扫描器立刻判断:该轮换的是生产凭证,还是无害的沙箱密钥。因为前缀可预测,它贡献的熵为零,所以强度面板只测随机段。

API key 多长才安全(熵)?

随机段至少要有 128 位熵,守护贵重东西时要 160 到 256 位。用 base62 时每个字符约值 5.95 位,所以长度 22 约到 131 位,长度 27 约到 160 位,长度 32 约到 190 位。用十六进制时每字符只有 4 位,要 32 个 hex 字符才到 128 位。强度面板会在你调整长度和字符集时实时算好这笔账。

在浏览器里生成 API key 真的安全吗?

是的,只要随机源是 Web Crypto API,而本工具正是只通过 crypto.getRandomValues 来用它。那是一个由操作系统播种的密码学安全生成器,和服务端会用的随机性同一档次。密钥在你机器的内存里生成, 不发往任何地方,不记录,也不写进可分享的 URL。要诚实说的一点是你自己的设备:在你信任的机器上生成,并且这把密钥一存在就当真凭证看。

API key 和 UUID 有什么区别?

UUID 是一个 128 位标识符,格式固定还带版本位,设计目标是唯一而非保密,所以放进 URL 和日志都没问题。API key 是一把凭证,它存在的全部意义就是难以猜到,所以要尽量高熵,而且静态存储时要做哈希。用 UUID 去命名一行数据,用 API key 去认证一个调用方。如果你要的是短唯一 id 而不是秘密,NanoID 或 ULID 工具比这把更合适。

为新服务或集成签发一把 live 密钥

你在接一个 webhook 接收端,需要一个 bearer token 让调用方放进 Authorization 头。选 sk_live_ 前缀、base62 字符集、长度 32(约 190 位),生成一个,强度面板会确认它远超任何暴力破解的威胁。复制一次,把哈希存在你这边,把明文只交给客户端一次。因为生成在本地完成,离开你机器的唯一副本就是你主动发出去的那一份。

为 live 和 test 环境分别签发密钥

Stripe 风格的前缀就是为了让一把泄露的密钥一眼看出属于哪个环境。生产用 sk_live_ 生成一批,预发用 sk_test_ 再生成一批,分别灌进各环境的密钥库。当某把密钥出现在日志或 GitHub 推送里,前缀会告诉你的扫描器:该轮换的是真实资金路径,还是只是个沙箱 token。数量设成你正在开通的租户数,把整批下载成 .txt。

无停机轮换被泄露的密钥

一把密钥泄进了公开仓库。用相同前缀和长度生成一把替换,让它能套进你现有的校验正则,先和旧密钥并存、部署上线,等流量切过去后再吊销旧的。随机段长度保持一致,意味着你的列宽、限流键、日志脱敏规则全都照常工作,不用改 schema。

生成能直接放进 URL 的 base64url token

有些流程把 token 放进 query string 或路径段,标准 base64 里的加号和斜杠就得做百分号转义。把字符集切到 base64url,它用 - 和 _ 代替,密钥就能原封不动塞进魔法链接或密码重置 URL。长度 43 给你 256 位,相当于一把 SHA-256 的熵,而且是一串可安全复制粘贴的串。

为文档、演示和测试造一批像真的假密钥

你的 API 文档需要看起来真、其实是假的示例密钥。用你真实的前缀生成几把,粘进文档和快照测试夹具,它们读起来很像真的,却对你的鉴权服务器永远无效。用一批固定值,让文档和测试引用同一组一次性字符串,而不是每次重新构建都跟着变。

API 密钥生成器

生成密码学随机的 API 密钥与令牌,前缀、长度、字符集都可自定义,实时显示熵值,全部在浏览器本地完成。

本地处理
分类开发运维
适合格式化、校验、压缩或检查和代码相关的文本。

前缀

字符集

字母表大小: 62 个

随机段长度

数量

强度

熵 (位（仅随机段）)

190.5

完整密钥长度

40

示例

sk_live_········…

生成结果

点击「生成」即可生成 API 密钥。

配置写入 URL，生成的密钥本身留在本地，绝不进入链接。

这个工具能做什么

一个浏览器端的 API 密钥生成器,为需要签发密钥、bearer token 和访问凭证的开发者打造,免去把敏感值粘进某个陌生网站的风险。每把密钥都用 crypto.getRandomValues 生成,这正是 Web Crypto API 暴露的密码学安全随机源,随机段真正不可预测,绝不退回到不安全的 Math.random()。你可以加一个路由前缀,比如 sk_live_、pk_test_,或你自己的自定义串,再选字符集:base62 给清爽的字母数字密钥,十六进制给小写 0-9 a-f,base64url 给能直接塞进 URL 的 token,base62 加一组安全符号则让每个字符的熵更高。随机段长度可在 8 到 128 之间调,一次最多批量生成 100 把。强度面板显示熵(以位计),只统计随机段,因为前缀本身不含秘密,同时给出完整密钥长度和一个打码示例。复制单把、复制全部,或把整批下载成 .txt 用来灌密钥库。你的配置会写进可分享的 URL,而生成的密钥严格留在本地、每次点击重新随机。零依赖、零服务器往返、100% 浏览器本地。

工具细节

输入: 文本 + 数值; 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出: 即时结果 + 复制 + 下载; 结果区优先给出可操作结果，支持项会显示复制、下载或可视化预览。
隐私: 浏览器本地处理; 主工具逻辑未发现外部 API 调用，输入通常留在当前标签页内处理。
保存 / 分享: 可分享链接状态; 关键设置会进入 URL，复制链接后别人能复现同一组参数。
性能预算: 首屏 JS ≤ 9 KB; 没有声明 WASM 依赖，适合快速打开和移动端使用。
适用场景: 开发运维 · 程序员; 分类和职业标签用于推荐相关工具、组织内链，并帮助用户快速判断是否适合当前任务。

怎么用

1. 输入

把内容粘贴或拖入工具面板。
2. 处理

点击按钮,在浏览器内本地处理,文件不上传。
3. 复制 / 下载

一键复制结果或下载到本地。