Java使用SecureRandom 在Linux生成随机数踩坑实录

最新推荐文章于 2026-06-20 14:05:45 发布
原创 最新推荐文章于 2026-06-20 14:05:45 发布 · 2.1k 阅读 · 4
标签
#java #linux
本文记录了在将Java中的Random替换为SecureRandom后,代码在Linux服务器上运行出现的问题。由于SecureRandom默认使用NativePRNG算法,可能会因熵收集导致阻塞。解决方案包括指定算法为SHA1PRNG,启动参数调整,或使用第三方库RandomStringUtils。经验教训强调了测试环境的必要性和对新工具理解的重要性。
背景

公司服务陆续接入sonar代码质量检测扫描,并且集成了p3c规则,在一个红包服务中使用了Random来产生随机数,扫描提示如下:

Creating a new Random object each time a random value is needed is
inefficient and may produce numbers which are not random depending on
the JDK. For better efficiency and randomness, create a single Random,
then store, and reuse it.

建议使用SecureRandom,于是根据建议本地(Windows)修改测试没问题后,代码跟着正常迭代发生产。

踩坑:

这个看似正常简单的用法替换,却隐藏着一个大隐患。修改的代码发布后,陆续收到一些请求处理报错:

(这里也说一下,因为用了自研的日志告警系统,所以可以在第一时间收到报错的内容)
之前逻辑设计为了

最低0.47元/天 解锁文章
记录SecureRandom经历
haozz的博客
11-29 909
背景 上周工作中有个问题耽搁了很长时间,打算写个博客记录一下,算是一个小复盘。 问题 我们公司共有三个测试环境,暂且称为test1、test2、test3环境。有一个服务发布在test3环境可以正常使用,没有任何报错,但是发布在test2环境就会报错。代码都是一样的,刚开始是怀疑配置有问题,仔细检查之后没有任何问题。后来借助arthas定位到了问题在于SecureRandom。也是因为这个事情,也专门写了一篇博客记录下arthas的简单实用。 SecureRandom 使用随机数的话,一般会像这样: pub
别再只用Random了!JavaSecureRandom生成密码和密钥的实战指南
weixin_42638178的博客
05-03 217
本文深入探讨了Java中`SecureRandom`在生成密码和密钥时的安全实践,对比了`Random`的安全隐患,并提供了详细的代码示例和性能优化技巧。通过使用`SecureRandom`,开发者可以确保密码学强度的随机数生成,适用于密码、密钥、盐值等安全敏感场景。
使用 SecureRandom 产生随机数记录
weixin_41385912的博客
11-26 3849
背景 我们的项目工程里经常在每个函数需要用到 Random 的地方定义一下 Random 变量(如下) public void doSomethingCommon() { Random rand = new Random(); ... } 在用 sonar 进行检查时,会发现会有如下告警 Creating a new Random object each time a random...
代码评审——随机数Random问题
月空的博客
01-24 2533
为了获取唯一值,经常会依赖产生随机数来保证唯一性。在获取随机数时,如果使用错误的方法,会比较低效。
SecureRandom的正确使用
weixin_33738555的博客
07-18 6436
目录 1. 什么是安全的随机数? 2. 怎么得到安全的随机数 3. SecureRandom最佳实践 3.1 基本用法 3.2 关于种子的设置 3.3 熵源不足时阻塞问题 4. 小结 1. 什么是安全的...
Linux】【开发】Linux环境下如何在代码中产生随机数
一介草民,只为生活。
09-26 692
本文整理了,Linux环境下在C代码中产生随机数的方法
Java 随机数生成Random & SecureRandom 原理分析
热门推荐
albon arith
06-22 4万+
文章目录java.util.Randomjava.Security.SecureRandom/dev/random 与 /dev/urandom资料 Java 里提供了一些用于生成随机数的工具类,这里分析一下其实现原理,以及他们之间的区别、使用场景。 java.util.Random Random 是比较常用的随机数生成类,它的基本信息在类的注释里都写到了,下面是 JDK8 里该类的注释: /**...
SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
weixin_45244678的博客
05-15 1万+
1. 背景介绍 sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换之, 当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式时, 在生产环境(linux)产生较长时间的阻塞, 但开发环境(windows7)并未重现 2. 现象展示 使用测试代码: package com.youai.test; import java.security.NoSuchAlgorithmException; import jav
SecureRandom生成随机数-验证码
2501_90425127的博客
01-29 894
1)SecureRandom.getInstance(“SHA1PRNG”)初始化慢Linux环境,在项目中用到了随机数使用SecureRandom.getInstance(“SHA1PRNG”),发现首次运行,时间极长。本地是Windows环境,运行并不慢。修改Linux的JVM环境,打开$JAVA_PATH/jre/lib/security/java.security这个文件,找到下面的内容。
Linux服务器中SecureRandom生成随机数非常慢,NativePRNG$Blocking 阻塞
篱笆女人和狗的博客
01-29 2112
dev/random生成随机数是基于环境噪声和硬件事件的熵源。/dev/random生成随机数是基于环境噪声和硬件事件的熵源。它会收集来自硬件设备(如鼠标移动、键盘敲击、磁盘活动等)和操作系统事件(如进程调度、网络活动等)的随机性信息,并将这些信息转化为随机数SecureRandom使用了多种熵源来生成随机数,包括操作系统提供的随机性源、硬件随机数生成器和其他可用的随机性源。这种多样化的熵源提供了更高的随机性和抵抗性,使得生成随机数更难以预测和破解。问题已经定位到了,/dev/random
SecureRandom生成随机数超慢 导致tomcat启动时间过长的解决办法
一黑到底
02-07 1万+
使用腾讯云的CentOS 7.2 CVM 服务器跑Tomcat时发现,Tomcat启动的特别慢,通过查看日志,发现时间主要花在实例化SecureRandom对象上了。由该日志可以看出,实例化该对象使用了460秒,导致整个应用启动了480秒之久。根本原因是SecureRandom 这个jre的工具类的问题. 具体内容:JDK-6521844 : SecureRandom hangs on Linux
java随机数生成
赶路人儿
01-15 2925
随机数分为:伪随机数和真随机数。后者具有:随机性、不可预测性、不重复性的特点,一般来说都是通过自然界物理信息来生成,例如使用硬件采集器手机温度等信息。 伪随机数分为:弱伪随机数和强伪随机数,后者可以用于密码学领域。 本文重点介绍在java下的伪随机数生成方法,包括:Random、ThreadLocalRandomSecureRandom
Random的子类 SecureRandom 在k8s系统下的pod生成随机数特别慢问题
栀子花开几百度的博客
11-09 671
问题描述:我们使用一个SecureRandom.getInstanceStrong()获取random对象,来生成16位的随机数,然而在生成过程中每次生成pod里面日志看需要将近两分钟生成一个数,这个问题在我本地、预生产、线上都没有问题,只有测试有这个问题。一些是在关键位置打印日志发现的问题 针对整个问题,我们只需要一个唯一标识的字符串,我使用雪花算法代替--临时解决 -------------------------------------------------------------------.
导致Java SecureRandom线程阻塞问题
Java_PIZI的博客
09-23 1512
linux操作系统熵值不够,导致使用安全随机数时,长时间线程阻塞。
linux多线程随机数,随机数SecureRandomLinux下阻塞
weixin_35973521的博客
05-09 660
问题背景在项目中,需要使用随机数,直接使用new Random()效率太低,为了提高随机性和性能,sonar建议,使用子类java.security.SecureRandom来实现。问题程序public class Test {public static void main(String[] args) throws java.security.NoSuchAlgorithmException {...
securerandom java_SecureRandom的正确使用
weixin_35396246的博客
02-12 645
1. 什么是安全的随机数?在安全应用场景,随机数应该使用安全的随机数。密码学意义上的安全随机数,要求必须保证其不可预测性。2. 怎么得到安全的随机数可以直接使用随机数产生器产生的随机数。或者使用随机数产生器产生的随机数做种子,输入密码学安全的伪随机数产生器产生密码学安全随机数。非物理真随机数产生器有:Linux操作系统的/dev/random设备接口Windows操作系统的CryptGenRa...
Java随机数生成器选型与实战:从Math.randomSecureRandom全解析
最新发布
dengyulong的专栏
06-20 438
随机数生成是软件系统中基础却关键的技术能力,涉及伪随机数生成器(PRNG)原理、线程安全机制、密码学安全性及JVM底层实现。理解Linear Congruential Generator(LCG)算法、种子(seed)控制、熵源依赖等核心概念,有助于规避高并发重复、安全密钥可预测、容器化阻塞等典型故障。在Java生态中,Math.random()、java.util.Random、ThreadLocalRandomSecureRandom分别适用于单线程测试、多线程高性能场景、可重现逻辑与密码学安全需求。
Java随机数生成器安全指南:RandomGenerator与SecureRandom深度解析
weixin_30666401的博客
06-20 403
随机数生成器(PRNG)是计算机科学中生成看似随机序列的基础算法,其核心原理基于确定性算法和初始种子。在密码学领域,对随机数的要求从统计随机性提升到了密码学安全性,即必须满足不可预测性、抗回溯性等严格标准。Java通过RandomGenerator接口统一了随机数生成框架,提供了LXM、Xoshiro等多种高性能算法实现,但只有基于加密学单向函数(如SHA-256)的SecureRandom才能满足密码学安全需求。在令牌生成、加密密钥派生等应用场景中,错误选择生成器会导致严重安全漏洞。本文通过算法原理对比
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值