Криптографически случайные токены в форматах HEX, Base64, Base64URL и UUID v4. Для API-ключей, CSRF-токенов, идентификаторов сессий и любых секретов, которые генерирует код, а не человек.
Токен — это случайная строка, которую генерирует не человек, а программа, чтобы что-то идентифицировать или защитить. В отличие от пароля, токен не нужно запоминать: он хранится в коде, конфиге или базе данных. Главное требование к токену — непредсказуемость: атакующий не должен иметь возможности угадать или вычислить чужой токен.
Типичные применения: API-ключи для интеграции между сервисами; CSRF-токены, защищающие формы от подделки межсайтовых запросов; идентификаторы сессий, по которым сервер узнаёт залогиненного пользователя; magic links для входа без пароля; секреты для подписи JWT; токены сброса пароля; ключи доступа к временным ресурсам.
HEX — шестнадцатеричное представление, по 2 символа на каждый байт. Самый читаемый формат: только цифры 0–9 и буквы a–f. 16 байт превращаются в 32 символа. HEX удобен для отладки и копирования вручную, но самый длинный из всех форматов.
Base64 — кодирует 3 байта в 4 символа, поэтому компактнее HEX примерно на треть. Использует алфавит из 64 символов, включая +, / и символ выравнивания =. Подходит для хранения в БД и передачи в теле запроса, но + и / ломаются, если токен попадает в URL.
Base64URL — та же компактность, но url-безопасный алфавит: + заменён на -, / на _, выравнивающие = убраны. Это формат для токенов в адресной строке, query-параметрах и заголовках. Именно Base64URL используется в JWT.
UUID v4 — стандартизированный 128-битный идентификатор по RFC 4122. 36 символов с дефисами вида xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx. Из 128 бит 122 случайны (6 зарезервированы под версию и вариант). UUID удобен как первичный ключ в базе данных и идентификатор сущности — он самодокументируется и поддерживается всеми СУБД.
Запас энтропии важнее формата. 16 байт (128 бит) — современный минимум для API-ключей, session ID и CSRF-токенов. Перебрать 2¹²⁸ комбинаций физически невозможно. 32 байта (256 бит) берут для критичных секретов: ключей подписи JWT, мастер-секретов, токенов с долгим сроком жизни. Меньше 16 байт (4–12) допустимо только для краткоживущих токенов вроде одноразовых ссылок с истечением через минуты.
Все токены создаются через crypto.getRandomValues — встроенный в браузер криптографический генератор. UUID формируется через crypto.randomUUID() там, где он доступен. Ничего не уходит на сервер: ни байты, ни сгенерированный токен. Это важно — токен, который вы здесь создаёте, скорее всего станет секретом продакшен-системы, и он не должен проходить через чужую инфраструктуру даже в зашифрованном виде.
После генерации скопируйте токен и сразу поместите его в защищённое хранилище: переменные окружения, систему управления секретами (Vault, AWS Secrets Manager) или зашифрованный конфиг. Не оставляйте токен в истории чата, не коммитьте в git.