go标准库未提供rand.string()因“随机字符串”语义模糊,需用户明确字符集与安全要求;math/rand用于一般场景,crypto/rand用于密码学安全场景。
为什么 rand.String() 不存在?
Go 标准库没有提供直接生成随机字符串的函数,因为“随机字符串”本身语义模糊:是纯字母、大小写混合、含数字、是否允许符号、是否需要密码学安全——这些都得由使用者明确。标准库只提供底层随机数能力,math/rand 面向一般用途(如模拟、测试),而 crypto/rand 才用于密钥、token 等安全场景。
用 math/rand 生成固定字符集的随机字符串
最常用做法是预定义字符集(如字母+数字),再用 rand.Intn() 取索引拼接。注意:必须手动调用 rand.Seed()(Go 1.20+ 已弃用)或使用 rand.New(rand.NewSource()) 初始化,否则每次运行结果相同。
package main
import (
"fmt"
"math/rand"
"time"
)
func RandString(n int) string {
const letters = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
src := rand.NewSource(time.Now().UnixNano())
r := rand.New(src)
b := make([]byte, n)
for i := range b {
b[i] = letters[r.Intn(len(letters))]
}
return string(b)
}
func main() {
fmt.Println(RandString(10)) // 如 "Km9xQ2vLpR"
}
- Go 1.20+ 推荐用
time.Now().UnixNano()作 seed,避免rand.Seed()被误用 - 不要在高并发中复用同一个
*rand.Rand实例,除非加锁;更安全的做法是每个 goroutine 自建实例,或用sync.Pool - 字符集长度应为 2 的幂(如 64)可略微提升
Intn()效率,但对多数场景无感
用 crypto/rand 生成密码学安全的随机字符串
当生成 API token、session ID 或加密盐值时,必须用 crypto/rand。它不依赖时间 seed,而是读取操作系统熵池,不可预测。
package main
import (
"crypto/rand"
"fmt"
)
func CryptoRandString(n int) (string, error) {
const letters = "abcdefghijklmnopqrstuvwxyz0123456789"
b := make([]byte, n)
if _, err := rand.Read(b); err != nil {
return "", err
}
for i := range b {
b[i] = letters[int(b[i])%len(letters)]
}
return string(b), nil
}
func main() {
s, _ := CryptoRandString(16)
fmt.Println(s) // 如 "k7m2x9q4v8n1z5t0"
}
-
rand.Read()返回的是字节流,不是均匀分布的索引,所以需用% len(letters)映射,会轻微引入偏差(对 16 字符以上字符串影响可忽略) - 若要求严格均匀,应使用拒绝采样(rejection sampling),但绝大多数业务场景无需
- 该方式无法直接支持大写字母+符号组合而不增加偏差,建议优先选 Base64 或 Hex 编码原始随机字节
更简洁安全的选择:用 encoding/base64 或 fmt.Sprintf("%x")
绕过字符映射偏差问题的最简方案:生成随机字节,再编码。Base64 输出含大小写字母、数字和 +//;Hex(%x)只含小写字母+数字,长度翻倍但无歧义。
立即学习“go语言免费学习笔记(深入)”;
package main
import (
"crypto/rand"
"encoding/base64"
"fmt"
)
func RandTokenBase64(n int) (string, error) {
b := make([]byte, n)
if _, err := rand.Read(b); err != nil {
return "", err
}
return base64.URLEncoding.EncodeToString(b)[:n], nil // 截断到目标长度(URLEncoding 输出略长)
}
func RandTokenHex(n int) string {
b := make([]byte, n/2+1)
rand.Read(b)
return fmt.Sprintf("%x", b)[:n]
}
func main() {
t, _ := RandTokenBase64(12)
fmt.Println(t) // 如 "aBcDeFgHiJkL"
fmt.Println(RandTokenHex(12)) // 如 "e4b2f9a1c8d7"
}
-
base64.URLEncoding更适合 URL/token 场景(不含+//和=) - Hex 方式简单可靠,但长度是原始字节数的两倍;若需 12 字符 token,应生成 6 字节
- 别用
base64.StdEncoding生成 token——它的+和/在 URL 中需额外编码
math/rand;非安全场景下,别为了“看起来更随机”而滥用 crypto/rand——它比 math/rand 慢一到两个数量级,且在容器等低熵环境可能阻塞**。 
