Bug 记录:SecureRandom.getInstanceStrong()导致验证码获取阻塞

原创 已于 2025-08-07 09:38:50 修改 · 773 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bug #spring #spring cloud #spring boot

于 2025-08-06 15:42:04 首次发布

问题描述:

在发送验证码到邮件中,接口调用时卡在生成验证码阶段,导致验证码功能完全不可用;
经排查开发环境一切正常,测试环境会重现此问题;

问题分析:

现象:

  • 代码卡在 SecureRandom.getInstanceStrong().nextInt() 无法继续执行

原因:

  • SecureRandom.getInstanceStrong() 方法在 Linux 下默认使用/dev/random来生成随机数,而这个文件的数据来源于系统的扰动。当系统产生扰动很少的时候,就会导致读取这个文件的线程阻塞;
  • /dev/random:阻塞型设备,当熵不足时会阻塞程序;
  • /dev/urandom:非阻塞型设备,熵不足时使用伪随机算法;

熵池不足是什么意思?

  • 熵池不足"是指系统中可用于生成随机数的随机性资源不足。当熵池中的熵值低于某个阈值时,系统无法提供足够的随机性;

查询服务器熵值:

cat /proc/sys/kernel/random/entropy_avail

正常应该1000以上

解决方案:

方案一:使用使new SecureRandom()

new SecureRandom() 默认使用非阻塞源,在 Linux 环境下,Java 默认使用 /dev/urandom 作为熵源(永不阻塞,即使熵不足时使用伪随机算法补充)

方案二:使用ThreadLocalRandom来生成验证码

public class CaptchaNumCreator extends DefaultTextCreator {
    @Override
    public String getText() {
        // 确保使用高效的随机数生成方式
        return ThreadLocalRandom.current()
                .ints(6, 0, 10)  // 生成6位数字
                .collect(StringBuilder::new, StringBuilder::append, StringBuilder::append)
                .toString();
    }
}

方案三:在 JVM 启动参数中添加

-Djava.security.egd=file:/dev/./urandom

注意:这里使用 /dev/./urandom 而非 /dev/urandom 是为了绕过 JDK 的一个历史 Bug

刘火锅
关注
Random random = SecureRandom.getInstanceStrong();堵塞线程问题解决
Apollo
06-15 1091
sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,就是他–》【SecureRandom.getInstanceStrong()】,分别在本地,测试环境测过没问题上生产,但是运行了一段时间突然报错!然后还是像那个博主一样,一段一段代码的注释上测试环境才发现问题在哪里,坑就坑在这,在win10环境正常得很,一到linux上面就和个发病的一样生成随机数字卡顿,导致接口请求无响应。sonar推荐的不一定都是适合自己业务场景,只是站在了技术层面考虑,推荐的东西自己还是要慎用!
SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
weixin_45244678的博客
05-15 1万+
1. 背景介绍 sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换之, 当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式时, 在生产环境(linux)产生较长时间的阻塞, 但开发环境(windows7)并未重现 2. 现象展示 使用测试代码: package com.youai.test; import java.security.NoSuchAlgorithmException; import jav
SecureRandom.getInstanceStrong引起的线程阻塞
qq_38536878的博客
03-30 2037
项目场景: 某个项目中,sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,于是就换成了使用SecureRandom.getInstanceStrong()获取SecureRandom并调用nextInt()。 悲剧开始了... 问题描述 在生产环境(linux)产生较长时间的阻塞,造成了nginx返回大量499,一度以为是tomcat不接收消息或是nginx转发问题,但开发环境(windows10)并未重现。 原因分析: 通过jstack发现,有599个线
深坑:SecureRandom.getInstanceStrong() next方法阻塞
Rocky的博客
11-03 3208
背景 我遇到的场景是,我们有个生成随机数的场景,采用的便是 SecureRandom.getInstanceStrong() 获取Random 实例。在windows电脑以及在docker环境中都运行正常,所以没发现问题。直到我们把代码部署到centos系统中时发现了问题(没有采用docker)。就发现这个方法执行时间很长,导致前端接口504 time out 错误。 最开始感觉很纳闷,一样的代码怎么会这样子。经过排查才发现是next方法执行时间很长导致的。 深究原因可以参考: https://blog.c
java SecureRandom.getInstanceStrong()随机数的深坑
weisian的博客
11-03 2581
2、SecureRandom.getInstanceStrong()造成阻塞的原因:在不同的系统环境执行的底层代码不相同,在linux系统中通过底层NativePRNG方法,通过/dev/random方式读取随机数,/dev/random方式受系统环境的影响容易造成线程阻塞;1、在获取随机数时,使用new Random()写发时,在sonar扫描提示建议使用SecureRandom.getInstanceStrong()语法获取
SecureRandom.getInstanceStrong()引发的线程阻塞
抽象的螺旋
12-06 1940
概述 sonar扫描到使用Random随机函数不安全,推荐使用SecureRandom替换,当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式是,在linux产生较长时间的阻塞,但开发环境(windows7)并未重现。 问题现象 测试代码: package com.study.practice.secure; import java.security.NoSuchAlgorithmException; import java.securit
怎么用SHA256PRNG或者SecureRandom.getInstanceStrong()方法来创建SecureRandom实例。
04-02
使用SecureRandom.getInstanceStrong()来创建SecureRandom实例: ``` SecureRandom sr = SecureRandom.getInstanceStrong(); ``` 请注意,使用SHA256PRNG可能会导致性能问题,因为它需要更多的计算。因此,建议在...
SecureRandom.getInstanceStrong()问题
qq_39217714的博客
10-15 836
转载自:SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
使用SecureRandom.getInstanceStrong() 遇到的深坑
liulinnnnnnnnnn的博客
06-23 1232
解决 double nonce = SecureRandom.getInstanceStrong() 在华为云CCE 执行时间过长问题
SecureRandom.getInstanceStrong() 导致线程阻塞
03-30 480
如无特殊要求,可用Random random = new SecureRandom();真是史前巨坑,上生产环境导致线程阻塞,靠打印日志一点点定位这行代码。
SecureRandom.getInstance()导致线程阻塞发生
qq_45559536的博客
11-17 1684
SecureRandom.getInstance()导致线程阻塞发生的复盘
SecureRandom.getInstanceStrong()造成Jenkins流水线编译卡顿
qiuhui123456的博客
12-03 1222
最近在整改sonar扫描的问题,有一个是不允许随机数直接去new Random(),sonar提供的解决办法是用SecureRandom.getInstanceStrong()替换new Random(),整改之后在本机测试没有问题,上传后git仓流水线后一直卡在改动后的类 查询资料看到SecureRandom.getInstanceStrong()在windows和liunx’下加载的不同的随机数库,取完熵之后会造成线程阻塞,因系统用随机数生成流水号,并发量要求也不是很高,并且在前面增加有时间,故使用ne
SecureRandom.getInstanceStron获取随机数线程阻塞
qq_33590654的博客
03-31 1734
1、(强伪随机数,难以预测的随机数)采用 new SecureRandom() 实例化,这个实例化底层是读取的是操作系统的 /dev/urandom文件,这个是伪随机,相比 SecureRandom.getInstanceStrong() 方式,它的随机性稍微弱一些,但大多数场景够用了。2、(弱伪随机数,易于预测的随机数)使用commons-lang3工具包中的RandomUtils.nextLong(起始值,结束值)方法,可以得到一个在该范围内的随机数。(和采用的代码语言无关)。
Java 8 SecureRandom 生成随机数
热门推荐
Hatsune_Miku_的博客
06-19 3万+
Java 8的SecureRandom API对原有的有几个变化 根据Oracle,已经做出了以下有趣的变化: 对于类UNIX平台,已经引入了两个新的实现,它们提供了阻塞和非阻塞行为:NativePRNGBlocking和NativePRNGNonBlocking。所述getInstanceStrong()方法是在JDK 8中引入此方法返回的每个平台上可用的最强SecureRa
python如何设计工具类_常用工具类
weixin_39522312的博客
11-25 309
Java的核心库提供了大量的现成的类供我们使用。本节我们介绍几个常用的工具类。Math顾名思义,Math类就是用来进行数学计算的,它提供了大量的静态方法来便于我们实现数学计算:求绝对值:Math.abs(-100); // 100Math.abs(-7.8); // 7.8取最大或最小值:Math.max(100, 99); // 100Math.min(1.2, 2.3); // 1.2计算xy...
SecureRandom产生随机数采坑记录
qq_36741161的博客
11-08 4611
前言:最近上线时遇到一个很诡异的问题,这个问题在测试环境和pr环境都没问题,但是在生产环境必现,排查配置、代码是否一致等原因后,最终通过cat生成的traceId和研读代码,花费了两个小时,定位到问题是由于SecureRandom产生随机数系统熵池中数量不足,阻塞了当前线程。记录一下这个踩坑经验,希望大家规避掉类似的使用~ 情境描述以及随机算法介绍 系统中经常有获取随机数的场景,我们通常new一个Random对象,通过random.nextInt(size)来获取一个随机数。通过jdk8中对Random类的
SecureRandom 引发的线程阻塞
guorun18的专栏
09-23 8721
写在前面--每个人都是在不断碰壁中获得成长,bug的逼格越高, 成长速度越快。 本人上周亲手写下了一个牛逼的bug,直接导致的结果是,晚上12点升级后台接口以后,第二天早上7点多开始,所有的app页面出现卡顿,白屏。公司研发老总,迅速召集公司运维大佬,产品大佬,研发大佬奔赴公司解决bug。所有人,开始手忙脚乱,查看线上日志,抓包,阿尔萨斯监听 接口耗时。各个大神,各种手段,各显才...
真伪随机数 ——Random和SecureRandom
weixin_30312563的博客
08-12 1608
Random Random用来创建伪随机数。所谓伪随机数,是指只要给定一个初始的种子,产生的随机数序列是完全一样的。 要生成一个随机数,可以使用nextInt()、nextLong()、nextFloat()、nextDouble(): Random r = new Random(); r.nextInt(); // 2071575453,每次都不一样 r.nextInt(10); // 5,...
生成密码学安全验证码在测试环境可以,发到生产环境就不通
最新发布
qq_37377838的博客
06-23 317
在某些 Linux 环境下(尤其是低熵系统)会阻塞,直到收集到足够熵。(如 Docker/K8s):某些容器默认熵池不足,需挂载。:方法卡住不返回,超时或抛出异常。或配置 JVM 参数。:不同 JDK 版本对。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值