Web アプリケーションにおける一意 ID 生成ライブラリの比較と選定
nanoid、shortid、uniqid、uuid は、JavaScript 環境で一意の識別子(ID)を生成するための人気ライブラリです。これらはデータベースのプライマリキー、セッション ID、URL スラッグ、または一時的な識別子など、さまざまな用途で使用されます。uuid は標準的な 128 ビット ID 生成を提供し、nanoid は URL 安全でコンパクトな ID 生成に特化しています。一方、shortid は非推奨となっており、uniqid は主に PHP の uniqid 関数のポートとしてシンプルさを重視しています。
npmのダウンロードトレンド
GitHub Starsランキング
統計詳細
Web アプリケーションにおける一意 ID 生成ライブラリの深層比較
フロントエンドアーキテクチャにおいて、一意の識別子(ID)の生成は頻繁に行われる操作です。リストのキー生成、一時的なファイル識別、セッション管理など、用途は多岐にわたります。nanoid、shortid、uniqid、uuid はこの課題に対する代表的な解決策ですが、その内部実装と適性には大きな違いがあります。
🚀 生成アルゴリズムと ID 形式
各ライブラリは異なるアプローチで ID を生成します。これが ID の長さ、予測可能性、そしてパフォーマンスに直結します。
nanoid は URL 安全な文字列を使用し、デフォルトで 21 文字の ID を生成します。乱数生成器(crypto module)を使用するため、予測が困難です。
// nanoid: デフォルトの URL 安全な ID
import { nanoid } from 'nanoid';
const id = nanoid(); // 例:"V1StGXR8_Z5jdHi6B-myT"
uuid は RFC 4122 に準拠した 128 ビット ID を生成します。標準的な形式(8-4-4-4-12)で、36 文字になります。
// uuid: バージョン 4 (ランダム)
import { v4 as uuidv4 } from 'uuid';
const id = uuidv4(); // 例:"9b1deb4d-3b7d-4bad-9bdd-2b0d7b3dcb6d"
shortid は短く、密度の高い ID を生成していましたが、内部アルゴリズムに問題があり、現在は非推奨です。
// shortid: 非推奨 (使用しないでください)
import shortid from 'shortid';
const id = shortid.generate(); // 例:"P1oW81"
uniqid は主に現在のタイムスタンプと乱数を組み合わせます。PHP の uniqid と同様の挙動を目指しています。
// uniqid: タイムスタンプベース
import uniqid from 'uniqid';
const id = uniqid(); // 例:"5f1e3a7b8c9d0"
⚡ パフォーマンスとバンドルサイズ
クライアントサイドのアプリケーションでは、バンドルサイズと実行速度がユーザー体験に影響します。
nanoid は非常に軽量に設計されており、モダンなバンドラーと相性が良いです。ID 生成速度も高速です。
// nanoid: 高速かつ軽量
import { nanoid } from 'nanoid';
// 大量生成も高速
const ids = Array.from({ length: 1000 }, () => nanoid());
uuid は機能が多いため、nanoid に比べてコードサイズが大きくなる傾向があります。ただし、ツリーシェイキングに対応したサブインポートが可能です。
// uuid: サブインポートでサイズ削減
import { v4 } from 'uuid';
// import { v4 } from 'uuid'; を使用しない場合、バンドルサイズが増加する可能性があります
shortid と uniqid はサイズは小さいですが、shortid はメンテナンスされておらず、uniqid は衝突耐性が低いため、パフォーマンス以外の理由でリスクがあります。
// uniqid: シンプルだが衝突リスクあり
import uniqid from 'uniqid';
// 短時間で大量生成すると衝突する可能性があります
🔒 セキュリティと予測可能性
セッション ID やアクセストークンなど、セキュリティが重要な用途では、ID の予測不可能性が不可欠です。
nanoid と uuid (v4) は暗号学的に安全な乱数生成器を使用するため、予測が極めて困難です。
// nanoid: 安全な乱数を使用
import { nanoid } from 'nanoid';
// 推測が困難な ID が生成されます
uniqid はタイムスタンプに依存するため、生成タイミングが推測されると ID も推測されるリスクがあります。セキュリティクリティカルな用途には適しません。
// uniqid: タイムスタンプ依存
import uniqid from 'uniqid';
// 生成時間が分かれば、ID の一部を予測できる可能性があります
shortid は過去に衝突や予測可能性の問題が報告されており、これが非推奨の主な理由です。
// shortid: セキュリティ上の問題あり
// 使用を避け、nanoid へ移行すべきです
🛠️ 環境対応と互換性
モダンなフロントエンド開発では、ブラウザ、Node.js、サーバーレス環境など、さまざまなランタイムでの動作が求められます。
nanoid はブラウザ、Node.js、React Native など、ほぼすべての環境で動作するように設計されています。
// nanoid: 幅広い環境対応
import { nanoid } from 'nanoid';
// ブラウザでも Node.js でも同じ API で動作
uuid も幅広い環境をサポートしていますが、暗号モジュールのポリフィルが必要になる場合があります。
// uuid: 環境による設定が必要な場合あり
import { v4 as uuidv4 } from 'uuid';
// 一部の古い環境では crypto ポリフィルが必要
⚠️ 保守状況と将来性
ライブラリの選択において、メンテナンス状況は長期的なコストに直結します。
nanoid は現在アクティブにメンテナンスされており、コミュニティからの信頼も厚いです。shortid の公式な後継として推奨されています。
// nanoid: アクティブにメンテナンス中
// 定期的なアップデートとセキュリティパッチが提供されます
shortid は npm ページおよびリポジトリで非推奨として明記されています。新しいプロジェクトでの使用は避けるべきです。
// shortid: 非推奨 (Deprecated)
// npm install shortid は非推奨警告を表示します
uniqid はメンテナンスが続いていますが、機能追加は少なく、シンプルなユースケースに限定されます。
// uniqid: 保守はされているが機能は限定的
// 大規模なシステムでの使用は注意が必要
📊 比較サマリー
| 特徴 | nanoid | uuid | shortid | uniqid |
|---|---|---|---|---|
| 推奨度 | ✅ 強く推奨 | ✅ 標準要件なら OK | ❌ 非推奨 | ⚠️ 限定的 |
| ID 長 | 21 文字 (デフォルト) | 36 文字 | 短め | 可変 |
| URL 安全 | ✅ はい | ❌ ハイフン含む | ✅ はい | ✅ はい |
| セキュリティ | ✅ 高い | ✅ 高い (v4) | ⚠️ 問題あり | ⚠️ 低い |
| サイズ | 非常に小さい | 中程度 | 小さい | 小さい |
💡 結論
現代のフロントエンドアーキテクチャでは、nanoid が最もバランスの取れた選択肢です。小さく、速く、安全で、URL にも優しい ID を提供します。uuid は、既存のインフラや規格で UUID 形式が必須である場合にのみ選択すべきです。shortid は技術的負債となるため避けてください。uniqid は、衝突リスクが許容される一時的な識別子など、非常に限定的な用途に留めるべきです。
ID 生成はアプリケーションの基盤となる部分です。将来の拡張性とセキュリティを考慮し、適切なライブラリを選定することが重要です。
選び方: uuid vs nanoid vs uniqid vs shortid
- uuid:
RFC 4122 標準に準拠した ID が必要で、システム間での互換性が最優先される場合は
uuidを選択してください。特にマイクロサービス間や既存のデータベーススキーマで UUID が規定されている場合に適しています。 - nanoid:
新しいプロジェクトで URL 安全な ID が必要な場合は
nanoidを選択してください。バンドルサイズが小さく、ブラウザと Node.js の両方で高速に動作します。セキュリティとパフォーマンスのバランスが最も優れています。 - uniqid:
PHP の
uniqid()関数との互換性が必要な場合や、タイムスタンプベースのシンプルな ID で十分な場合にのみ使用を検討してください。セキュリティや衝突耐性が重要な場面には適していません。 - shortid:
shortidは公式に非推奨(deprecated)となっているため、新しいプロジェクトでの使用は避けてください。既存のレガシーコードから移行する必要がある場合は、nanoidへの移行を強く推奨します。
人気の比較
uuid のREADME
uuid 
For the creation of RFC9562 (formerly RFC4122) UUIDs
- Complete - Support for all RFC9562 UUID versions
- Cross-platform - Support for...
- Secure - Uses modern
cryptoAPI for random values - Compact - Zero-dependency, tree-shakable
- CLI -
uuidcommand line utility
[!NOTE]
Starting with
uuid@12CommonJS is no longer supported. See implications and motivation for details.
Quickstart
1. Install
npm install uuid
2. Create a UUID
import { v4 as uuidv4 } from 'uuid';
uuidv4(); // ⇨ '9b1deb4d-3b7d-4bad-9bdd-2b0d7b3dcb6d'
For timestamp UUIDs, namespace UUIDs, and other options read on ...
API Summary
uuid.NIL | The nil UUID string (all zeros) | New in uuid@8.3 |
uuid.MAX | The max UUID string (all ones) | New in uuid@9.1 |
uuid.parse() | Convert UUID string to array of bytes | New in uuid@8.3 |
uuid.stringify() | Convert array of bytes to UUID string | New in uuid@8.3 |
uuid.v1() | Create a version 1 (timestamp) UUID | |
uuid.v1ToV6() | Create a version 6 UUID from a version 1 UUID | New in uuid@10 |
uuid.v3() | Create a version 3 (namespace w/ MD5) UUID | |
uuid.v4() | Create a version 4 (random) UUID | |
uuid.v5() | Create a version 5 (namespace w/ SHA-1) UUID | |
uuid.v6() | Create a version 6 (timestamp, reordered) UUID | New in uuid@10 |
uuid.v6ToV1() | Create a version 1 UUID from a version 6 UUID | New in uuid@10 |
uuid.v7() | Create a version 7 (Unix Epoch time-based) UUID | New in uuid@10 |
uuid.v8() | "Intentionally left blank" | |
uuid.validate() | Test a string to see if it is a valid UUID | New in uuid@8.3 |
uuid.version() | Detect RFC version of a UUID | New in uuid@8.3 |
API
uuid.NIL
The nil UUID string (all zeros).
Example:
import { NIL as NIL_UUID } from 'uuid';
NIL_UUID; // ⇨ '00000000-0000-0000-0000-000000000000'
uuid.MAX
The max UUID string (all ones).
Example:
import { MAX as MAX_UUID } from 'uuid';
MAX_UUID; // ⇨ 'ffffffff-ffff-ffff-ffff-ffffffffffff'
uuid.parse(str)
Convert UUID string to array of bytes
str | A valid UUID String |
| returns | Uint8Array[16] |
| throws | TypeError if str is not a valid UUID |
[!NOTE] Ordering of values in the byte arrays used by
parse()andstringify()follows the left ↠ right order of hex-pairs in UUID strings. As shown in the example below.
Example:
import { parse as uuidParse } from 'uuid';
// Parse a UUID
uuidParse('6ec0bd7f-11c0-43da-975e-2a8ad9ebae0b'); // ⇨
// Uint8Array(16) [
// 110, 192, 189, 127, 17,
// 192, 67, 218, 151, 94,
// 42, 138, 217, 235, 174,
// 11
// ]
uuid.stringify(arr[, offset])
Convert array of bytes to UUID string
arr | Array-like collection of 16 values (starting from offset) between 0-255. |
[offset = 0] | Number Starting index in the Array |
| returns | String |
| throws | TypeError if a valid UUID string cannot be generated |
[!NOTE] Ordering of values in the byte arrays used by
parse()andstringify()follows the left ↠ right order of hex-pairs in UUID strings. As shown in the example below.
Example:
import { stringify as uuidStringify } from 'uuid';
const uuidBytes = Uint8Array.of(
0x6e,
0xc0,
0xbd,
0x7f,
0x11,
0xc0,
0x43,
0xda,
0x97,
0x5e,
0x2a,
0x8a,
0xd9,
0xeb,
0xae,
0x0b
);
uuidStringify(uuidBytes); // ⇨ '6ec0bd7f-11c0-43da-975e-2a8ad9ebae0b'
uuid.v1([options[, buffer[, offset]]])
Create an RFC version 1 (timestamp) UUID
[options] | Object with one or more of the following properties: |
[options.node = (random) ] | RFC "node" field as an Array[6] of byte values (per 4.1.6) |
[options.clockseq = (random)] | RFC "clock sequence" as a Number between 0 - 0x3fff |
[options.msecs = (current time)] | RFC "timestamp" field (Number of milliseconds, unix epoch) |
[options.nsecs = 0] | RFC "timestamp" field (Number of nanoseconds to add to msecs, should be 0-10,000) |
[options.random = (random)] | Array of 16 random bytes (0-255) used to generate other fields, above |
[options.rng] | Alternative to options.random, a Function that returns an Array of 16 random bytes (0-255) |
[buffer] | Uint8Array or Uint8Array subtype (e.g. Node.js Buffer). If provided, binary UUID is written into the array, starting at offset |
[offset = 0] | Number Index to start writing UUID bytes in buffer |
| returns | UUID String if no buffer is specified, otherwise returns buffer |
| throws | Error if more than 10M UUIDs/sec are requested |
[!NOTE] The default node id (the last 12 digits in the UUID) is generated once, randomly, on process startup, and then remains unchanged for the duration of the process.
[!NOTE]
options.randomandoptions.rngare only meaningful on the very first call tov1(), where they may be passed to initialize the internalnodeandclockseqfields.
Example:
import { v1 as uuidv1 } from 'uuid';
uuidv1(); // ⇨ '2c5ea4c0-4067-11e9-9b5d-ab8dfbbd4bed'
Example using options:
import { v1 as uuidv1 } from 'uuid';
const options = {
node: Uint8Array.of(0x01, 0x23, 0x45, 0x67, 0x89, 0xab),
clockseq: 0x1234,
msecs: new Date('2011-11-01').getTime(),
nsecs: 5678,
};
uuidv1(options); // ⇨ '710b962e-041c-11e1-9234-0123456789ab'
uuid.v1ToV6(uuid)
Convert a UUID from version 1 to version 6
import { v1ToV6 } from 'uuid';
v1ToV6('92f62d9e-22c4-11ef-97e9-325096b39f47'); // ⇨ '1ef22c49-2f62-6d9e-97e9-325096b39f47'
uuid.v3(name, namespace[, buffer[, offset]])
Create an RFC version 3 (namespace w/ MD5) UUID
API is identical to v5(), but uses "v3" instead.
[!IMPORTANT] Per the RFC, "If backward compatibility is not an issue, SHA-1 [Version 5] is preferred."
uuid.v4([options[, buffer[, offset]]])
Create an RFC version 4 (random) UUID
[options] | Object with one or more of the following properties: |
[options.random] | Array of 16 random bytes (0-255) |
[options.rng] | Alternative to options.random, a Function that returns an Array of 16 random bytes (0-255) |
[buffer] | Uint8Array or Uint8Array subtype (e.g. Node.js Buffer). If provided, binary UUID is written into the array, starting at offset |
[offset = 0] | Number Index to start writing UUID bytes in buffer |
| returns | UUID String if no buffer is specified, otherwise returns buffer |
Example:
import { v4 as uuidv4 } from 'uuid';
uuidv4(); // ⇨ '1b9d6bcd-bbfd-4b2d-9b5d-ab8dfbbd4bed'
Example using predefined random values:
import { v4 as uuidv4 } from 'uuid';
const v4options = {
random: Uint8Array.of(
0x10,
0x91,
0x56,
0xbe,
0xc4,
0xfb,
0xc1,
0xea,
0x71,
0xb4,
0xef,
0xe1,
0x67,
0x1c,
0x58,
0x36
),
};
uuidv4(v4options); // ⇨ '109156be-c4fb-41ea-b1b4-efe1671c5836'
uuid.v5(name, namespace[, buffer[, offset]])
Create an RFC version 5 (namespace w/ SHA-1) UUID
name | String | Array |
namespace | String | Array[16] Namespace UUID |
[buffer] | Uint8Array or Uint8Array subtype (e.g. Node.js Buffer). If provided, binary UUID is written into the array, starting at offset |
[offset = 0] | Number Index to start writing UUID bytes in buffer |
| returns | UUID String if no buffer is specified, otherwise returns buffer |
[!NOTE] The RFC
DNSandURLnamespaces are available asv5.DNSandv5.URL.
Example with custom namespace:
import { v5 as uuidv5 } from 'uuid';
// Define a custom namespace. Readers, create your own using something like
// https://www.uuidgenerator.net/
const MY_NAMESPACE = '1b671a64-40d5-491e-99b0-da01ff1f3341';
uuidv5('Hello, World!', MY_NAMESPACE); // ⇨ '630eb68f-e0fa-5ecc-887a-7c7a62614681'
Example with RFC URL namespace:
import { v5 as uuidv5 } from 'uuid';
uuidv5('https://www.w3.org/', uuidv5.URL); // ⇨ 'c106a26a-21bb-5538-8bf2-57095d1976c1'
uuid.v6([options[, buffer[, offset]]])
Create an RFC version 6 (timestamp, reordered) UUID
This method takes the same arguments as uuid.v1().
import { v6 as uuidv6 } from 'uuid';
uuidv6(); // ⇨ '1e940672-c5ea-64c1-9bdd-2b0d7b3dcb6d'
Example using options:
import { v6 as uuidv6 } from 'uuid';
const options = {
node: [0x01, 0x23, 0x45, 0x67, 0x89, 0xab],
clockseq: 0x1234,
msecs: new Date('2011-11-01').getTime(),
nsecs: 5678,
};
uuidv6(options); // ⇨ '1e1041c7-10b9-662e-9234-0123456789ab'
uuid.v6ToV1(uuid)
Convert a UUID from version 6 to version 1
import { v6ToV1 } from 'uuid';
v6ToV1('1ef22c49-2f62-6d9e-97e9-325096b39f47'); // ⇨ '92f62d9e-22c4-11ef-97e9-325096b39f47'
uuid.v7([options[, buffer[, offset]]])
Create an RFC version 7 (random) UUID
[options] | Object with one or more of the following properties: |
[options.msecs = (current time)] | RFC "timestamp" field (Number of milliseconds, unix epoch) |
[options.random = (random)] | Array of 16 random bytes (0-255) used to generate other fields, above |
[options.rng] | Alternative to options.random, a Function that returns an Array of 16 random bytes (0-255) |
[options.seq = (random)] | 32-bit sequence Number between 0 - 0xffffffff. This may be provided to help ensure uniqueness for UUIDs generated within the same millisecond time interval. Default = random value. |
[buffer] | Uint8Array or Uint8Array subtype (e.g. Node.js Buffer). If provided, binary UUID is written into the array, starting at offset |
[offset = 0] | Number Index to start writing UUID bytes in buffer |
| returns | UUID String if no buffer is specified, otherwise returns buffer |
Example:
import { v7 as uuidv7 } from 'uuid';
uuidv7(); // ⇨ '01695553-c90c-745a-b76f-770d7b3dcb6d'
uuid.v8()
"Intentionally left blank"
[!NOTE] Version 8 (experimental) UUIDs are "for experimental or vendor-specific use cases". The RFC does not define a creation algorithm for them, which is why this package does not offer a
v8()method. Thevalidate()andversion()methods do work with such UUIDs, however.
uuid.validate(str)
Test a string to see if it is a valid UUID
str | String to validate |
| returns | true if string is a valid UUID, false otherwise |
Example:
import { validate as uuidValidate } from 'uuid';
uuidValidate('not a UUID'); // ⇨ false
uuidValidate('6ec0bd7f-11c0-43da-975e-2a8ad9ebae0b'); // ⇨ true
Using validate and version together it is possible to do per-version validation, e.g. validate for only v4 UUIds.
import { version as uuidVersion } from 'uuid';
import { validate as uuidValidate } from 'uuid';
function uuidValidateV4(uuid) {
return uuidValidate(uuid) && uuidVersion(uuid) === 4;
}
const v1Uuid = 'd9428888-122b-11e1-b85c-61cd3cbb3210';
const v4Uuid = '109156be-c4fb-41ea-b1b4-efe1671c5836';
uuidValidateV4(v4Uuid); // ⇨ true
uuidValidateV4(v1Uuid); // ⇨ false
uuid.version(str)
Detect RFC version of a UUID
str | A valid UUID String |
| returns | Number The RFC version of the UUID |
| throws | TypeError if str is not a valid UUID |
Example:
import { version as uuidVersion } from 'uuid';
uuidVersion('45637ec4-c85f-11ea-87d0-0242ac130003'); // ⇨ 1
uuidVersion('6ec0bd7f-11c0-43da-975e-2a8ad9ebae0b'); // ⇨ 4
[!NOTE] This method returns
0for theNILUUID, and15for theMAXUUID.
Command Line
UUIDs can be generated from the command line using uuid.
$ npx uuid
ddeb27fb-d9a0-4624-be4d-4615062daed4
The default is to generate version 4 UUIDS, however the other versions are supported. Type uuid --help for details:
$ npx uuid --help
Usage:
uuid
uuid v1
uuid v3 <name> <namespace uuid>
uuid v4
uuid v5 <name> <namespace uuid>
uuid v7
uuid --help
Note: <namespace uuid> may be "URL" or "DNS" to use the corresponding UUIDs
defined by RFC9562
options Handling for Timestamp UUIDs
Prior to uuid@11, it was possible for options state to interfere with the internal state used to ensure uniqueness of timestamp-based UUIDs (the v1(), v6(), and v7() methods). Starting with uuid@11, this issue has been addressed by using the presence of the options argument as a flag to select between two possible behaviors:
- Without
options: Internal state is utilized to improve UUID uniqueness. - With
options: Internal state is NOT used and, instead, appropriate defaults are applied as needed.
Support
Browsers: uuid builds are tested against the latest version of desktop Chrome, Safari, Firefox, and Edge. Mobile versions of these same browsers are expected to work but aren't currently tested.
Node: uuid builds are tested against node (LTS releases), plus one prior. E.g. At the time of this writing node@20 is the "maintenance" release and node@24 is the "current" release, so uuid supports node@18-node@24.
Typescript: TS versions released within the past two years are supported. source
Known issues
"getRandomValues() not supported"
This error occurs in environments where the standard crypto.getRandomValues() API is not supported. This issue can be resolved by adding an appropriate polyfill:
React Native / Expo
- Install
react-native-get-random-values - Import it before
uuid. Sinceuuidmight also appear as a transitive dependency of some other imports it's safest to just importreact-native-get-random-valuesas the very first thing in your entry point:
import 'react-native-get-random-values';
import { v4 as uuidv4 } from 'uuid';
Markdown generated from README_js.md by