Keine Werbung mögen? Gehen Werbefrei Heute

PKCE Code Verifier & Challenge Generator

EntwicklerSicherheit
ANZEIGE Entfernen?
EINGANG
Breite umschalten Vollbildmodus aktivieren/deaktivieren

PKCE-Konfiguration

RFC 7636 erfordert 43 bis 128 Zeichen. Längere Werte erhöhen die Entropie.
S256 ist erforderlich für OAuth 2.1 und wird von allen modernen Anbietern unterstützt.
Beide erzeugen Verifizierer, die den RFC 7636-Vorgaben entsprechen. Wählen Sie den, der von Ihrem Client-Code erwartet wird.
AUSGABE
Client-Seite
Breite umschalten Vollbildmodus aktivieren/deaktivieren
ANZEIGE Entfernen?

Verwandte Tools

Einige andere Tools ähnlich PKCE Code Verifier & Challenge Generator die Sie vielleicht nützlich finden.

E-Mail-Lieferbarkeits-Prüfer
EntwicklerNetzwerk

ECDSA / Ed25519 Schlüsselgenerator
EntwicklerSicherheit

SAML-Antwort-Decodierer
EntwicklerSicherheit

Führung

PKCE-Code-Verifizierer & Challenge-Generator - IO Tools

PKCE Code Verifier & Challenge Generator

Erstellen Sie RFC 7636-konforme PKCE-Werte direkt in Ihrem Browser. Wählen Sie eine Verifiziererlänge (43 bis 128 Zeichen), und das Tool erzeugt einen kryptografisch zufälligen code_verifier mit der entsprechenden SHA-256 code_challenge in base64url-Form, bereit, in eine OAuth 2.0- oder OAuth 2.1-Autorisierungsanfrage einzufügen. Nützlich für SPAs, mobile Apps, native CLI-Tools und alle, die ein Authentifizierungsverfahren mit PKCE bei Anbietern wie Auth0, Okta, Microsoft Entra, Google, GitHub und Keycloak debuggen.

Nutzung

  1. Ziehen Sie das Verifiziererlänge Slider — alles zwischen 43 und 128 ist möglich; längere Werte erhöhen die Entropie.
  2. Wählen Sie den Challenge-Methode. Achten Sie darauf, es zu aktivieren S256 essofern Ihr Anbieter explizit verlangt plain.
  3. Wählen Sie einen Verifizierer-Zeichensatz. Beide Optionen sind RFC-konform; das base64url-Alphabet entspricht dem, was die meisten OAuth-Clients generieren.
  4. Klicken Sie auf Erzeugen. Der Verifizierer, die Challenge und die Methode werden sofort angezeigt, zusammen mit einer Schritt-für-Schritt-Ausführung der SHA-256 → base64url-Transformation.
  5. Kopieren Sie die code_challenge + code_challenge_method in Ihre /authorize Umleitung, speichern Sie die code_verifier In sessionStorageund spielen Sie sie auf /token um den Austausch abzuschließen.

Funktionen

  • Kryptografisch sichere Zufälligkeit – verwendet crypto.getRandomValues() mit Ablehnungssampling, sodass kein Modulo-Bias auf dem 66-Zeichersatz der unreservierten Zeichen auftritt.
  • Native SHA-256 – die Challenge wird über den Browser berechnet SubtleCrypto.digest('SHA-256'), sodass die Werte mit denen, die Ihr Autorisierungs-Server erzeugt, übereinstimmen.
  • S256 und plain-Methode – beide code_challenge_method Werte aus RFC 7636 werden unterstützt, wobei S256 standardmäßig nach OAuth 2.1 ausgewählt werden.
  • Schritt-für-Schritt-Auflösung – sehen Sie den rohen Verifizierer, die 32-Bit-SHA-256-Hash und die endgültige base64url-Challenge, um jede Transformation zu überprüfen.
  • Zwei Zeichensatz-Optionen – wählen Sie die vollständige RFC 7636-erlaubte Menge (A–Z, a–z, 0–9, -, ., _, ~) oder den engeren base64url-Zeichensatz, den die meisten Bibliotheken standardmäßig verwenden.
  • Länge-Slider, 43 bis 128 – bleiben Sie innerhalb der Spezifikation ohne magische Zahlen zu manipulieren.
  • Ein-Klick-Kopie auf allen Ausgabefeldern, damit Sie sie direkt in Postman, curl oder Ihren Client-Code einfügen können.
  • 100% clientseitig – nichts wird an einen Server gesendet. Der Verifizierer bleibt nie außerhalb Ihres Browser-Fensters.

Häufig gestellte Fragen

  1. Was ist PKCE und warum braucht OAuth es?

    Proof Key for Code Exchange (PKCE, RFC 7636) ist eine OAuth 2.0-Erweiterung, die den Autorisierungscode-Fluss vor Abfangen schützt. Der Client wählt ein Geheimnis code_verifier, leitet daraus ein code_challenge ab und sendet nur die Challenge in der Autorisierungsanfrage. Wenn der Client später den Autorisierungscode beim Token-Endpoint einsetzt, sendet er den ursprünglichen Verifizierer; der Server hashet ihn und vergleicht ihn mit der gespeicherten Challenge. Selbst wenn ein Angreifer den Autorisierungscode abfangt, kann er ihn nicht austauschen, ohne den Verifizierer, der nie aus dem legitimen Client verlässt. OAuth 2.1 erfordert für alle Clients, öffentliche oder geheime, PKCE.

  2. Wie lang sollte ein code_verifier sein und warum?

    RFC 7636 erfordert, dass der Verifizierer zwischen 43 und 128 Zeichen aus der unreservierten Menge ist. Der untere Grenzwert existiert, weil 43 base64url-Zeichen 32 zufällige Bytes (256 Bit) entsprechen – das ist der minimale Entropiewert, der gegen Brute-Force-Angriffe sicher ist. Längere Verifizierer bieten mehr Entropie, aber bieten ab 256 Bit keine echten Sicherheitsvorteile. Die meisten Referenzimplementierungen wählen 43, 64 oder 128. Wählen Sie die längere Endung, wenn Sie eine zusätzliche Sicherheit wünschen, aber beachten Sie, dass einige Legacy-Server jegliche Werte über 128 abweisen, da sie die Spezifikation strikt einhalten.

  3. Wie unterscheidet sich die S256- von der plain-Challenge-Methode?

    Mit S256 Die Challenge ist die base64url-gekodierte SHA-256-Hash des Verifizierers; mit plain ist die Challenge der Verifizierer selbst. Die plain Methode bietet keine echte Sicherheit, wenn die Autorisierungsanfrage abgefangen wird – ein Angreifer, der die Challenge sieht, hat bereits den Verifizierer. RFC 7636 erlaubt nur plain für Clients, die wirklich keine SHA-256 berechnen können, und OAuth 2.1 verbietet es vollständig. Produktive Identitätsanbieter wie Auth0, Okta, Google und Microsoft Entra lehnen plain ab, verwenden daher immer S256 außer Sie debuggen ein eingeschränktes eingebettetes Client-System.

  4. Was ist base64url und wie unterscheidet es sich von base64?

    Base64url ist eine URL-sichere Variante von base64, definiert in RFC 4648 §5. Es ersetzt + ist der schnelle Weg, aber es behandelt Attribute unkonsequent und kann Daten in Randfällen verlieren. Für Produktionsarbeit mit SOAP-Antworten, betrachten Sie - und / ist der schnelle Weg, aber es behandelt Attribute unkonsequent und kann Daten in Randfällen verlieren. Für Produktionsarbeit mit SOAP-Antworten, betrachten Sie _ damit die codierte Zeichenfolge sicher in einen Query-Parameter, JWT-Teil oder Pfadkomponente eingefügt werden kann, ohne weitere Escaping. Der Endpadding wird ebenfalls entfernt, da die Länge durch den umgebenden Kontext impliziert ist. PKCE, JWT, JWE, JWS und die meisten modernen Web-Crypto-Spezifikationen verwenden base64url genau aus diesen Gründen. = Klicken Sie auf Generieren, um einen code_verifier zu erstellen

Möchten Sie werbefrei genießen? Werde noch heute werbefrei

Erweiterungen installieren

IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche

Zu Chrome-Erweiterung Zu Kantenerweiterung Zu Firefox-Erweiterung Zu Opera-Erweiterung

Die Anzeigetafel ist eingetroffen!

Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!

ANZEIGE Entfernen?

Unverzichtbare Tools

Alle
Hintergrundentferner
KI-Bildeditor
KI-Bildgenerator
ImageKit
PDF Compressor
Bildkonverter
Einmaliger Link
ANZEIGE Entfernen?

Neuheiten

Alle
NPV & IRR Calculator
CSS Custom Property Extractor
Image to ASCII Art Converter
tsconfig.json Generator
Textile & Yarn Converter
Maze Generator (SVG)
Network Speed Unit Converter

Aktualisieren: Unser neuestes Werkzeug was added on Mai 21, 2026

ANZEIGE Entfernen?

Nachrichtenecke mit technischen Highlights

Beteiligen Sie sich

Helfen Sie uns, weiterhin wertvolle kostenlose Tools bereitzustellen

Kauf mir einen Kaffee
ANZEIGE Entfernen?