【037】面试必问!ThreadLocalRandom 和 SecureRandom 选不对,项目直接踩雷!

最新推荐文章于 2025-12-16 01:10:38 发布
原创 最新推荐文章于 2025-12-16 01:10:38 发布 · 583 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#面试 #职场和发展 #java #学习

文章目录

在这里插入图片描述

📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌

📙 作者: 编程技术圈(哇哥面试陪跑)
👉 欢迎关注、分享、评论
✔️ 持续分享更多干货内容
🌐🌏🌎➕tcmeta, 欢迎沟通交流

📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌📌

零、引入

“完了完了!用户验证码被破解,账户里的钱被转走了!” 王二瘫在工位上,脸色惨白 —— 他图省事用 ThreadLocalRandom 生成支付验证码,结果黑客轻松破解,公司赔了用户好几万,领导的怒火能把天花板烧穿。隔壁哇哥掐灭烟头,一把薅过王二的代码:“早告诉你加密场景不能用 ThreadLocalRandom!SecureRandom 才是安全的,今天我把这俩的区别掰开揉碎讲,再画清楚对比图,下次再用错,你直接卷铺盖走人!”

在这里插入图片描述

点赞 + 关注,跟着哇哥和王二,吃透 ThreadLocalRandom 和 SecureRandom 的核心区别,选对工具,避免项目踩雷,面试也能稳拿分!

一、王二的致命坑:用 ThreadLocalRandom 生成支付验证码

在这里插入图片描述
王二的支付系统里,验证码生成逻辑就一行代码,看着简单,却埋了个炸雷:

// 王二的坑代码:用ThreadLocalRandom生成6位支付验证码
public static String generatePayCode() {
    return String.format("%06d", ThreadLocalRandom.current().nextInt(1000000));
}

上线没几天,就有用户反馈 “验证码刚收到,就有人用验证码登录转走了钱”。安全组一查,黑客通过分析验证码的规律,轻松预测出后续的验证码 ——ThreadLocalRandom 生成的随机数,在黑客眼里就是 “明牌”。

“你这是拿玩具枪去抢银行!” 哇哥指着代码骂,“ThreadLocalRandom 是给高并发场景用的‘普通随机数’,SecureRandom 才是加密级的‘安全随机数’,两者的安全级别差着十万八千里!”

二、用 “彩票摇号 vs 超市抽奖” 讲透核心区别

哇哥拿生活里的例子一对比,王二瞬间懂了:

  • ThreadLocalRandom:像超市的抽奖机,随机数是 “伪随机”,基于固定算法和种子生成,知道种子就能算出所有结果(比如超市员工知道抽奖机的算法,能提前算出中奖号码);

  • SecureRandom:像彩票中心的摇号机,随机数是 “强伪随机 / 真随机”,基于系统的熵池(鼠标移动、键盘输入、网络延迟等不可预测的物理数据)生成,根本无法预测。

✅ 详细对比

*** 随机数类型**
在这里插入图片描述

  • 安全性

在这里插入图片描述

  • 底层原理

在这里插入图片描述

  • 性能(生成10万随机数)
    在这里插入图片描述
  • 使用场景

在这里插入图片描述

✔️ 为什么 SecureRandom 更安全?核心就 2 点

在这里插入图片描述

📌 种子来源不可预测:

  • ThreadLocalRandom 的种子来自 “系统时间 + 线程探针”,是可复现的(比如知道生成时间,就能反推种子);

  • SecureRandom 的种子来自系统熵池 —— 收集鼠标移动、键盘敲击、磁盘 IO 延迟、网络数据包到达时间等 “无规律的物理数据”,这些数据完全不可预测,就算黑客拿到部分数据,也推不出种子。

➡️ 算法符合密码学标准:

  • ThreadLocalRandom 用的是普通的伪随机算法(比如线性移位反馈),生成的随机数有规律;
  • SecureRandom 用的是密码学安全的算法(比如 SHA1PRNG、CTR_DRBG),生成的随机数分布均匀、无规律,符合《密码学随机数生成器标准》。

“简单说,ThreadLocalRandom 是‘按公式算数字’,SecureRandom 是‘抓一把沙子数颗粒’,” 哇哥总结,“公式能破解,沙子的数量永远算不准!”

“简单说,ThreadLocalRandom 是‘按公式算数字’,SecureRandom 是‘抓一把沙子数颗粒’,” 哇哥总结,“公式能破解,沙子的数量永远算不准!”

三、性能实测:两者差多少?(附完整代码)

王二不信 “性能差很多”,哇哥直接写了个性能测试代码,实测生成 10 万随机数的耗时,结果让王二目瞪口呆。

📢 性能对比代码(完整可运行)

package cn.tcmeta.randoms;


import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.concurrent.ThreadLocalRandom;
import java.util.concurrent.TimeUnit;

/**
 * @author: laoren
 * @description: // ThreadLocalRandom vs SecureRandom 性能对比
 * @version: 1.0.0
 */
public class RandomPerformanceTest {
    // 测试次数:生成100万随机数
    private static final int TEST_COUNT = 1000000;

    // 测试ThreadLocalRandom性能
    public static void testThreadLocalRandom() {
        long start = System.nanoTime();
        ThreadLocalRandom random = ThreadLocalRandom.current();
        for (int i = 0; i < TEST_COUNT; i++) {
            random.nextInt(1000000); // 生成0-999999的随机数
        }
        long end = System.nanoTime();
        long cost = TimeUnit.NANOSECONDS.toMillis(end - start);
        System.out.println("ThreadLocalRandom生成" + TEST_COUNT + "个随机数耗时:" + cost + "ms");
    }

    // 测试SecureRandom性能(SHA1PRNG算法)
    public static void testSecureRandom() throws NoSuchAlgorithmException {
        // 获取加密级SecureRandom实例(指定算法)
        SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
        long start = System.nanoTime();
        for (int i = 0; i < TEST_COUNT; i++) {
            secureRandom.nextInt(1000000); // 生成0-999999的随机数
        }
        long end = System.nanoTime();
        long cost = TimeUnit.NANOSECONDS.toMillis(end - start);
        System.out.println("SecureRandom(SHA1PRNG)生成" + TEST_COUNT + "个随机数耗时:" + cost + "ms");
    }

    static void main() throws NoSuchAlgorithmException {
        // 先预热JVM,避免首次执行误差
        testThreadLocalRandom();
        testSecureRandom();

        System.out.println("===== 正式测试 =====");
        testThreadLocalRandom();
        testSecureRandom();
    }
}

执行结果:

ThreadLocalRandom生成1000000个随机数耗时:6ms
SecureRandom(SHA1PRNG)生成1000000个随机数耗时:82ms
===== 正式测试 =====
ThreadLocalRandom生成1000000个随机数耗时:4ms
SecureRandom(SHA1PRNG)生成1000000个随机数耗时:52ms

结果分析

  • ThreadLocalRandom:生成 100 万随机数几乎 “零耗时”(实际约 10ms 内),无锁竞争,性能拉满;
  • SecureRandom:耗时约 50ms,是 ThreadLocalRandom 的 50 倍左右;如果系统熵池不足(比如服务器无鼠标 / 键盘输入),耗时会涨到 1 秒以上。

“性能差这么多,为啥还要用 SecureRandom?” 王二问。

“安全和性能永远是取舍,” 哇哥说,“生成验证码时,慢 500ms 但能保证用户资金安全;生成订单号时,快 10ms 能提升 QPS,场景不同,选择不同!”

四、场景决策:该用哪个?

在这里插入图片描述

👉 决策图

为了让王二不再用错,哇哥画了一张 “场景决策图”,照着选绝对不会错。

在这里插入图片描述

🔥 实战示例:正确用法(直接抄)

‼️ 示例 1:SecureRandom 生成支付验证码(加密场景)

package cn.tcmeta.randoms;


import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;

/**
 * @author: laoren
 * @description: 正确:SecureRandom生成支付验证码
 * @version: 1.0.0
 */
public class SecurePayCodeGeneratorSample {
    // 全局单例(避免频繁初始化,提升性能)
    private static final SecureRandom SECURE_RANDOM;


    static {
        try {
            // 获取加密级实例(指定算法,避免依赖系统默认)
            SECURE_RANDOM = SecureRandom.getInstance("SHA1PRNG");
            // 强制刷新种子(从熵池重新获取,提升安全性)
            SECURE_RANDOM.nextBytes(new byte[16]);
        } catch (NoSuchAlgorithmException e) {
            // 降级处理:使用系统默认算法
            throw new RuntimeException("初始化SecureRandom失败", e);
        }
    }

    // 生成6位支付验证码
    public static String generatePayCode() {
        // 生成0-999999的随机数,补0成6位
        int code = SECURE_RANDOM.nextInt(1000000);
        return String.format("%06d", code);
    }

    static void main() {
        // 测试生成验证码
        for (int i = 0; i < 5; i++) {
            System.out.println("支付验证码:" + generatePayCode());
        }
    }
}

在这里插入图片描述

😭 示例 2:ThreadLocalRandom 生成订单号(高并发非加密场景)

package cn.tcmeta.randoms;


import java.util.concurrent.ThreadLocalRandom;

/**
 * @author: laoren
 * @description: // 正确:ThreadLocalRandom生成订单号
 * @version: 1.0.0
 */
public class OrderNoGeneratorSample {

    // 生成订单号:时间戳+8位随机数
    public static String generateOrderNo() {
        long timestamp = System.currentTimeMillis();
        // ThreadLocalRandom生成8位随机数
        int randomNum = ThreadLocalRandom.current().nextInt(100000000);
        return timestamp + String.format("%08d", randomNum);
    }

    static void main() {
        // 测试生成订单号
        for (int i = 0; i < 5; i++) {
            System.out.println("订单号:" + generateOrderNo());
        }
    }
}

在这里插入图片描述

五、避坑指南:90% 的人踩过的 2 个坑

❌ 坑 1:频繁 new SecureRandom 实例(性能雪上加霜)

// 错误:每次生成验证码都new SecureRandom,熵池频繁刷新,耗时翻倍
public static String wrongGenerateCode() {
    SecureRandom random = new SecureRandom(); // 频繁new
    return String.format("%06d", random.nextInt(1000000));
}

正确做法:全局单例,初始化一次即可(参考上面的 SecurePayCodeGenerator)。

❌ 坑 2:用 SecureRandom 生成大量非加密随机数(拖累性能)

// 错误:生成订单号用SecureRandom,QPS暴跌
public static String wrongGenerateOrderNo() {
    SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
    return System.currentTimeMillis() + String.format("%08d", random.nextInt(100000000));
}

正确做法:非加密场景用 ThreadLocalRandom,把性能留给核心加密逻辑。

六、总结:核心心法(王二记满小本本)

在这里插入图片描述

📒 至强总结

  • 安全优先选 SecureRandom:凡是和 “钱、密码、token、密钥” 相关的,必须用 SecureRandom,慢一点也值得;
  • 性能优先选 ThreadLocalRandom:高并发下的普通随机数场景(订单号、随机延时),用 ThreadLocalRandom,QPS 直接起飞;
  • 单线程随便选:低并发场景,Random 和 ThreadLocalRandom 性能差不多,怎么顺手怎么写;
  • SecureRandom 优化技巧:全局单例 + 提前刷新种子,能提升 50% 以上性能。

🥚哇哥的面试彩蛋

“面试时被问这俩的区别,你先画对比图,再讲彩票摇号的例子,最后说性能实测数据,” 哇哥传授技巧,“面试官一看你既懂原理、又测过性能、还知道避坑,绝对给你打高分!记住:技术选型不是选最好的,而是选最适合场景的。”

在这里插入图片描述
如果对你有帮助, 一键三连关注我.
在这里插入图片描述
在这里插入图片描述

javajava 随机数 Random ThreadLocalRandom SecureRandom
九师兄
03-21 452
1.概述 出自:《java性能权威指南》 Java 7 提 供 了 3 个 标 准 的 随 机 数 生 成 器 类:java.util.Random、 java.util.concurrent.ThreadLocalRandom 以及java.security.SecureRandom。这三个类在性能方面差距很大。 2. Random ThreadLocalRandom区别 Random ThreadLocalRandom 两个类的差别是, Random 类的主要操作( nextGaussian(.
从ThreadLocal内部机制分析ThreadLocalRandom
AI天才研究院
08-05 979
当需要在多线程环境下生成随机数时,我们经常会java.util.Random或者java.security.SecureRandom类。但是它们并不是线程安全的,这就导致了多线程环境下同一个Random对象会发生“伪随机”序列混乱的题。在Java 5之前,解决这个题的一个方案就是为每个线程都创建一个Random对象,但这样会使得资源消耗很高。而从Java 5开始引入了java.lang.ThreadLocal类,它提供了一种可以存储线程本地信息的方法。
【036】面试 ThreadLocalRandom 底层?用奶茶店排队讲透!
编程技术圈
12-13 964
ThreadLocalRandom通过线程私有种子实现高效随机数生成,相比ThreadLocal更轻量。其核心在于Thread类中直接存储种子字段(threadLocalRandomSeed等),避免ThreadLocalMap的额外开销。ThreadLocalRandom.current()会检查并初始化线程的种子,返回单例实例但每个线程拥有独立种子。这种设计减少了竞争,提高了性能,适用于高并发场景。通过源码分析可见,ThreadLocalRandom与ThreadLocal......
【035】并发下 Random 卡死?ThreadLocalRandom 让 QPS 翻 10 倍!
编程技术圈
12-13 801
JavaThreadLocalRandom的作用及其在高并发场景下的优势。通过对比Random在多线程环境下的性能题(如竞争条件重复订单号),文章以奶茶店取号机的生动比喻,解释了ThreadLocalRandom的核心原理——每个线程拥有独立的随机数生成器,避免了锁竞争。代码示例显示,改用ThreadLocalRandom后,系统QPS提升10倍且消除了重复题。关键点在于ThreadLocalRandom实现了线程隔离的随机数生成,适合高并发场景。
ThreadLocalRandom类原理剖析
少不入川。的博客
11-22 941
多线程情况下,多个线程拿着相同的种子去计算随机数,因为计算随机数的算法是固定的,所以这些拿到相同种子的线程会生成相同的随机数。简单来说就是第一个线程生成新的种子以后,第二个线程就要丢弃旧的种子,根据第一个线程所生成的新种子计算自己的新种子。变量的值,然后在种子的基础上累加 GAMMA 值作为新种子,而 后使用 UNSAFE 的。你可以在使用Random的构造函数的时候指定种子,也可以不指定使用默认的种子。中并没有存放具体的种子,具体的种子存放在具体的调用线程的。是一个普通的Long类型的变量,因为。
惊艳面试官-Java中关于随机数生成8种方式的思考
xiexiaojing的博客
12-15 1163
Java中生成随机数常用的有下面这8种写法:简而言之,名称带安全的未安全,名字简洁的未简单。Math.random()RandomThreadLocalRandomSecureRand...
Random(一)高并发题,ThreadLocalRandom源码解析
ACGkaka的博客
02-26 1868
Random(一)高并发题,ThreadLocalRandom源码解析
Java SE基础回顾】看这篇就够了!
weixin_46864174的博客
10-09 942
自定义异常可以继承Exception(受检异常)或(非受检异常)1.自定义异常类,继承自 Exception// 定义一个方法,抛出自定义异常public static void validateAge(int age) throws InvalidAgeException { // 注意!!这里throws不能省略// 当年龄小于 18 时,抛出自定义异常} else {try {// 调用 validateAge 方法,传入一个无效的年龄// 捕获并处理自定义异常2.使用。
都为你整理好了,Java 各种随机方式对比!
程序IT圈
04-08 170
由于公众号文章推送规则的改变,所以为了大家能够准时收到我们的文章推送,请记得将公众号:Java后端编程设为星标~这样就不会错过每一篇精彩的推送啦~来源:www.jianshu.com/...
都为你整理好了,5种Java 随机方式对比!你都知道吗?
程序员白楠楠的博客
01-17 179
1. Math.random() 静态方法 产生的随机数是 0 - 1 之间的一个 double,即 0 <= random <= 1。 for (int i = 0; i < 10; i++) { System.out.println(Math.random()); } 结果: 0.3598613895606426 0.2666778145365811 0.25090731064243355 0.011064998061666276 0.6006862281756
【247期】自从用了 OkHttp3,别的都完全不想用了!
Java精选
01-31 300
点击上方“Java”,择“设为星标”别别人为什么,多自己凭什么!下方有惊喜,留言回,有答!每天13:30更新文章,每天进步一点点...Java封装OkHttp3工具类,...
精选资源
PASSword:使用SecureRandom来自https的熵数据的安全密码生成器
05-02
密码 使用SecureRandom来自熵数据的安全密码生成器
Tomcat 启动时 SecureRandom 非常慢解决办法
09-30
主要介绍了Tomcat 启动时 SecureRandom 非常慢解决办法的相关资料,需要的朋友可以参考下
ThreadLocalRandom.current()SecureRandom random = new SecureRandom() 推荐用哪个
03-08
好的,我需要比较ThreadLocalRandom.current()SecureRandom random = new SecureRandom(),然后推荐使用哪个。首先,我得分别了解这两个类的用途特点。 ThreadLocalRandomJava中用于多线程环境的随机数生成器...
第七十二篇:CI/CD流水线:自动化测试与部署深度实战
厚积薄发的博客
12-15 565
文章摘要:CI/CD——现代软件交付的核心竞争力 本文系统阐述了CI/CD在现代软件开发中的关键作用。首先通过Netflix、亚马逊等企业的惊人部署数据,展示了CI/CD已成为企业的"生死线"。文章详细解析了持续集成(CI)、持续交付(CD)持续部署的核心概念,包括CI的四大支柱(频繁提交、自动化构建、自动化测试、快速反馈)CD的核心特征(部署流水线、环境一致性、一键部署、回滚能力)。
【专题04】Docker容器面试题核心概念(10题)
qq_33525062的博客
12-15 27
本文摘要了Docker技术的核心知识点,涵盖40个关键题,分为5大模块:1)核心概念(容器与虚拟机区别、Docker架构等10题);2)镜像操作(Dockerfile指令、镜像优化等10题);3)容器操作(常用命令、资源限制等10题);4)Docker Compose(配置管理、服务依赖5题);5)高级话题(安全实践、生产部署5题)。内容全面覆盖Docker基础到进阶知识,包括架构原理、操作命令实际应用场景,适合作为Docker学习与使用的系统性参考指南。
Java 面试题集 -- 001
最新发布
qq_42763903的博客
12-16 684
本文整理了Java面试中的常见题与解答:1)HashSet基于HashMap实现,需重写hashCodeequals方法确保对象去重;2)MySQL索引采用B+树结构提高查询效率,但会降低写入性能,列举了6种索引失效情况;3)Spring事务通过AOP实现,分析了自调用导致事务失效的原因及3种解决方案;4)MySQL在REPEATABLE READ隔离级别下可能出现更新后查询不到新数据的题,给出了3种解决方法。这些题涵盖了Java集合、数据库Spring框架的核心知识点。
面试实战 题三十三 Spring 事务常用注解
Rockandrollman的博客
12-11 272
面试实战 题三十三 Spring 事务常用注解
阿里Java面试:如何分析Full GC的原因?jmap -histojmap -dump区别?
xh2277659985的博客
12-12 1085
摘要:本文系统分析了FullGC频繁的定位流程与解决方案。首先介绍了快速诊断流程,包括收集GC日志、确定GC类型(系统级、并发失败、晋升失败等)及对应优化方案。重点剖析了CMS并发失败的五大原因,如老年代空间不足、晋升阈值不合理等,并给出调整空间比例、优化晋升策略等六种解决方案。通过电商大促等实战案例,演示了从题定位到参数调优的全过程。文章还详细对比了jmap-histo与jmap-dump工具的使用场景,提供了内存泄漏排查方法论。最后构建了包含监控指标、日志配置、应急流程的完整预防体系,并给出不同技术深
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值