Üretim işlemi tarayıcı içinde, işletim sisteminin kriptografik rastgelelik kaynağına bağlı olarak çalışır. Böylece “tahmin edilebilir random” riskleri minimize edilir.

• Seçilen her kategoriden en az 1 karakter eklenir (politika garantisi).
• Kalan karakterler birleşik havuzdan üretilir.
• Sonuç Fisher–Yates benzeri karıştırma ile dağıtılır.

Token güvenliği iki eksenle büyür: uzunluk ve karakter havuzu. Daha fazla benzersiz karakter ve daha uzun token, olası kombinasyonları astronomik seviyelere taşır.

Entropi, kabaca “kaç bit belirsizlik” taşıdığını ifade eder. Bu ekran, seçtiğin ayarlara göre entropiyi yaklaşık olarak gösterir.

Kaba kuvvet tahmini, gerçek dünya saldırılarını birebir temsil etmez; fakat hedef büyüklüğünü ve politika yeterliliğini hızlıca anlamanı sağlar.

• API token için 32–64 karakter genellikle yeterlidir; kritik sistemlerde 96+ düşün.
• Benzer karakterleri hariç tutmak, kopyalama/okuma hatalarını düşürür.
• Gruplama (4-4-4) insan okunabilirliğini artırır; makine doğrulaması etkilenmez.
• Token’ı URL’de taşıyacaksan, sembol setini ve ayırıcıyı kullanım alanına göre seç.

Bu tür token’lar; e-posta doğrulama linkleri, şifre sıfırlama akışları, “magic link” giriş, webhook imzalama, tek kullanımlık kupon/erişim anahtarı ve internal servis-to-servis kimlik doğrulama gibi alanlarda yaygındır.

En iyi uygulama: Token’ı düz metin saklamak yerine hashleyerek saklamak, süre sınırı koymak ve gerektiğinde anında iptal edilebilir kılmaktır.