跳到主要内容

Bcrypt 生成器:浏览器内 hash 与校验密码

bcrypt 密码哈希生成 + 校验:选轮数,浏览器内 hash 与对比。

  • 本地处理
  • 分类 编码加密
  • 适合 分享前检查文件类型、大小、元数据和明显不匹配信号。
100% 浏览器内运行,密码和哈希不出本标签页。
4(最快)— 14(很慢)。10 是当下默认。
Bcrypt 哈希

这个工具能做什么

免费在线 bcrypt 哈希生成与校验工具。选 cost(4-14,10 是当下默认), 输入密码,即时得到 $2b$ 开头的 bcrypt 哈希字符串。切到校验模式可 测试某个密码是否匹配现有的 $2a$ / $2b$ / $2y$ 哈希。完整的 Eksblowfish 算法是用纯 JavaScript 实现的,跑在你的浏览器里, 没用任何 npm bcrypt 依赖,也不调外部 API。生成耗时随 cost 指数级 增长(cost 14 在笔记本上要一秒左右),正好让你直观感受 bcrypt 为什么要"故意慢"。

工具细节

输入
文本 + 数值
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 30 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
编码加密 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

Bcrypt 生成器 适合怎么用

适合在上传、交付、归档、客服排查前使用,也适合任何文件离开本机前的本地复核。

适合文件任务

  • 分享前检查文件类型、大小、元数据和明显不匹配信号。
  • 上传、归档、接收或审核前整理混合文件夹。
  • 敏感文件先留在浏览器里处理,不用交给账号型服务。

文件检查项

  • 不要只凭扩展名判断真实文件类型。
  • 文件发给客户、供应商或公开页面前,先看元数据。
  • 复制、转换或导出结果确认前,保留原文件。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 密码生成器 基于 crypto.getRandomValues 的专业级密码生成器,强密码 + Passphrase 双模式,纯浏览器运行。 打开
  2. 2 密码强度检测 密码强度检测:熵值、破解时间预估、常见泄露模式离线匹配。 打开
  3. 3 MD5 / SHA 哈希 一次算出 MD5 / SHA-1 / SHA-256 / SHA-384 / SHA-512 五种摘要,全在浏览器本地 打开

真实使用场景

  • 在迁移脚本里给 Rails 或 Laravel 预置一个管理员账号

    全新的 staging 库要一个能登录的管理员,但框架 console 还没接好。输入 「ChangeMe2026!」,cost 选 12 对齐你应用的配置,把生成的 $2y$12$ 串 直接写进 seed SQL。首次启动时这条哈希就能在登录表单里校验通过,等你 把 URL 发出去之前再改掉密码就行。

  • 确认一条泄露的哈希是不是某个弱密码

    一份渗透 dump 给了你一条 $2a$10$ 哈希,你怀疑开发图省事用了 「password123」。把两者贴进校验模式,cost 10 下大概 80ms 出 true/false,不用临时写一段 Node 脚本。命中就带证据提报告,不命中就 放手去查别的,不用瞎猜。

  • 选一个不会拖垮登录延迟预算的 cost

    你的鉴权 p95 预算是 400ms,纠结 cost 从 10 提到 12 行不行。在同一台 笔记本上每个 cost 各生成一次,盯着计时器:cost 10 大约 60ms,cost 12 约 250ms,cost 14 超过一秒。这种上手的体感告诉你 12 是上限,再往上 登录就开始发拖。

  • 给密码校验分支写一个测试夹具

    单元测试需要一条固定的 bcrypt 哈希,用来断言校验分支返回 true。给 「test-secret」用 cost 4 生成一条(快,测试够用),把 $2b$04$ 串写成 常量,CI 就是毫秒级跑完,而不是每次跑测试都按 cost 12 去 hash。

常见踩坑

  • 生产环境不压测就把 cost 拉到 14:cost 14 单次登录可能超过一秒,一波并发登录就排队卡住。按最慢的那台服务器落在 250-500ms 来选,通常是 11-12。

  • 把超长字符串直接丢给 bcrypt:超过 72 字节的部分会被悄悄截掉,于是 90 个字符的口令和它前 72 个字符生成同一条哈希。要收长输入就先用 SHA-256 预哈希一遍。

  • 「为了保险」额外存一列 salt:那 22 个字符的 salt 本来就在 $2b$ 串里,单独存一列是多余的,一旦它和哈希对不上反而校验失败。

隐私说明

所有计算都在你的浏览器标签页里完成。你输入的密码和粘贴的哈希都不离开页面, 不发往任何服务器,也不会写进 URL,所以分享链接里不带任何密钥。即便如此, 在公用电脑上用完后,还是把贴进去的哈希清掉,当敏感信息对待。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

Made by Toolora · 100% client-side · Updated 2026-07-02