Generador de Claves de API
Genera claves de API opacas y de alta entropía para autenticar clientes ante tu servicio, codificadas en base64url y listas para usar.
Las claves se generan localmente con la Web Crypto API. No se envía nada a nuestros servidores.
Aún no hay valor. Pulsa Regenerar.
Es una estimación basada en la generación aleatoria, no en si una contraseña filtrada se ha reutilizado.
Generado localmente en tu navegador. No se envía nada a nuestros servidores, no se registra ni se almacena.
Qué hace buena a una clave de API
Una clave de API identifica y autentica a quien llama. Debe ser larga, aleatoria y sin ninguna estructura que un atacante pueda predecir o adivinar. Una clave de 32 bytes tiene 256 bits de entropía, cómodamente fuera del alcance de la fuerza bruta.
Trata las claves como contraseñas. Guarda solo un hash en tu lado, compáralo en cada petición, y da a cada cliente su propia clave para poder revocar una sin afectar al resto.
Buenas prácticas
- Usa 32 bytes (256 bits) de entropía, en base64url para claves compactas y seguras para URL.
- Guarda un hash de la clave, nunca el valor en crudo, y compáralo en cada petición.
- Añade un prefijo reconocible para detectar las claves en los logs y revocarlas.
Más generadores de secretos
Cada generador de abajo es la misma herramienta local, basada en Web Crypto, configurada para otra tarea. Nada de lo que generes sale de tu navegador.
- Generador de Contraseñas SegurasContraseñas, secretos, tokens y PIN en un solo sitio.
- Generador OpenSSL RandSecretos base64 y hex al estilo openssl rand.
- Generador de Secretos JWTSecretos de firma HS256 fuertes para JWT.
- Generador de Tokens AleatoriosTokens de sesión, restablecimiento y verificación.
- Generador de Frases de PasoFrases de paso de varias palabras memorables.
- Generador de PINCódigos PIN numéricos rápidos.
Preguntas frecuentes
¿Cuánto debe medir una clave de API?
Apunta a al menos 128 bits de entropía; 256 bits (32 bytes aleatorios) es un buen valor por defecto. En base64url son 43 caracteres.
¿Por qué base64url para claves de API?
Base64url es compacto y seguro para URL y cabeceras, sin caracteres + / o = que escapar. Eso facilita enviar la clave en una cabecera Authorization o en la query.
¿Debo guardar las claves de API en texto plano?
No. Guarda solo un hash de la clave, como harías con una contraseña. Compara el hash en cada petición para que una fuga de base de datos no exponga claves usables.
¿Cómo revoco una clave?
Da a cada cliente su propia clave y guarda un identificador o prefijo para ella. Para revocar, borra o desactiva ese registro; los demás clientes no se ven afectados.