Random random = SecureRandom.getInstanceStrong();堵塞线程问题解决

最新推荐文章于 2025-08-06 15:42:04 发布
原创 最新推荐文章于 2025-08-06 15:42:04 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #算法

文章讲述了在遵循Sonar的建议,将Random替换为SecureRandom.getInstanceStrong()后,代码在Windows环境下运行正常,但在Linux环境中出现性能问题,导致接口无响应。作者通过逐步调试发现这一问题,并最终选择使用Math.random()方法来解决这个问题,强调技术推荐需结合业务场景谨慎使用。

在这里插入图片描述

sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,就是他–》【SecureRandom.getInstanceStrong()】,分别在本地,测试环境测过没问题上生产,但是运行了一段时间突然报错!!!

然后还是像那个博主一样,一段一段代码的注释上测试环境才发现问题在哪里,坑就坑在这,在win10环境正常得很,一到linux上面就和个发病的一样生成随机数字卡顿,导致接口请求无响应

最后还是换了个实现方式,sonar扫描后也没问题结尾

sonar推荐的不一定都是适合自己业务场景,只是站在了技术层面考虑,推荐的东西自己还是要慎用!!

有问题的代码:

Random random = SecureRandom.getInstanceStrong();
//把随机生成的数字转成字符串
String code = String.valueOf(random.nextInt(9)
最低0.47元/天 解锁文章
SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
weixin_45244678的博客
05-15 1万+
1. 背景介绍 sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换之, 当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式时, 在生产环境(linux)产生较长时间的阻塞, 但开发环境(windows7)并未重现 2. 现象展示 使用测试代码: package com.youai.test; import java.security.NoSuchAlgorithmException; import jav
SecureRandom.getInstanceStrong()引发的线程阻塞
抽象的螺旋
12-06 1939
概述 sonar扫描到使用Random随机函数不安全,推荐使用SecureRandom替换,当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式是,在linux产生较长时间的阻塞,但开发环境(windows7)并未重现。 问题现象 测试代码: package com.study.practice.secure; import java.security.NoSuchAlgorithmException; import java.securit
Random random = SecureRandom.getInstanceStrong();
菜小菜吃菜的博客
06-25 1377
真是史前巨坑,上生产环境导致线程阻塞,靠打印日志一点点定位这一句代码。 如无特殊要求,可用Random random = new SecureRandom();替代 详情可看: https://blog.csdn.net/weixin_45244678/article/details/106137948 ...
java SecureRandom.getInstanceStrong()随机数的深坑
weisian的博客
11-03 2581
2、SecureRandom.getInstanceStrong()造成阻塞的原因:在不同的系统环境执行的底层代码不相同,在linux系统中通过底层NativePRNG方法,通过/dev/random方式读取随机数,/dev/random方式受系统环境的影响容易造成线程阻塞;1、在获取随机数时,使用new Random()写发时,在sonar扫描提示建议使用SecureRandom.getInstanceStrong()语法获取。
SecureRandom.getInstanceStron获取随机数线程阻塞
qq_33590654的博客
03-31 1734
1、(强伪随机数,难以预测的随机数)采用 new SecureRandom() 实例化,这个实例化底层是读取的是操作系统的 /dev/urandom文件,这个是伪随机,相比 SecureRandom.getInstanceStrong() 方式,它的随机性稍微弱一些,但大多数场景够用了。2、(弱伪随机数,易于预测的随机数)使用commons-lang3工具包中的RandomUtils.nextLong(起始值,结束值)方法,可以得到一个在该范围内的随机数。(和采用的代码语言无关)。
深坑:SecureRandom.getInstanceStrong() next方法阻塞啦
Rocky的博客
11-03 3208
背景 我遇到的场景是,我们有个生成随机数的场景,采用的便是 SecureRandom.getInstanceStrong() 获取Random 实例。在windows电脑以及在docker环境中都运行正常,所以没发现问题。直到我们把代码部署到centos系统中时发现了问题(没有采用docker)。就发现这个方法执行时间很长,导致前端接口504 time out 错误。 最开始感觉很纳闷,一样的代码怎么会这样子。经过排查才发现是next方法执行时间很长导致的。 深究原因可以参考: https://blog.c
SecureRandom.getInstanceStrong引起的线程阻塞
qq_38536878的博客
03-30 2037
项目场景: 某个项目中,sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,于是就换成了使用SecureRandom.getInstanceStrong()获取SecureRandom并调用nextInt()。 悲剧开始了... 问题描述 在生产环境(linux)产生较长时间的阻塞,造成了nginx返回大量499,一度以为是tomcat不接收消息或是nginx转发问题,但开发环境(windows10)并未重现。 原因分析: 通过jstack发现,有599个线
Random的子类 SecureRandom 在k8s系统下的pod生成随机数特别慢问题
栀子花开几百度的博客
11-09 639
问题描述:我们使用一个SecureRandom.getInstanceStrong()获取random对象,来生成16位的随机数,然而在生成过程中每次生成pod里面日志看需要将近两分钟生成一个数,这个问题在我本地、预生产、线上都没有问题,只有测试有这个问题。一些是在关键位置打印日志发现的问题 针对整个问题,我们只需要一个唯一标识的字符串,我使用雪花算法代替--临时解决 -------------------------------------------------------------------.
SecureRandom.getInstanceStrong()问题
qq_39217714的博客
10-15 836
转载自:SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
使用SecureRandom.getInstanceStrong() 遇到的深坑
liulinnnnnnnnnn的博客
06-23 1232
解决 double nonce = SecureRandom.getInstanceStrong() 在华为云CCE 执行时间过长问题
SecureRandom.getInstanceStrong() 导致线程阻塞
03-30 480
如无特殊要求,可用Random random = new SecureRandom();真是史前巨坑,上生产环境导致线程阻塞,靠打印日志一点点定位这行代码。
Bug 记录:SecureRandom.getInstanceStrong()导致验证码获取阻塞
objectdsf的博客
08-06 772
在发送验证码到邮件中,接口调用时卡在生成验证码阶段,导致验证码功能完全不可用;经排查开发环境一切正常,测试环境会重现此问题
SecureRandom.getInstance()导致线程阻塞发生
qq_45559536的博客
11-17 1684
SecureRandom.getInstance()导致线程阻塞发生的复盘
SecureRandom.getInstanceStrong()造成Jenkins流水线编译卡顿
qiuhui123456的博客
12-03 1222
最近在整改sonar扫描的问题,有一个是不允许随机数直接去new Random(),sonar提供的解决办法是用SecureRandom.getInstanceStrong()替换new Random(),整改之后在本机测试没有问题,上传后git仓流水线后一直卡在改动后的类 查询资料看到SecureRandom.getInstanceStrong()在windows和liunx’下加载的不同的随机数库,取完熵之后会造成线程阻塞,因系统用随机数生成流水号,并发量要求也不是很高,并且在前面增加有时间,故使用ne
SecureRandom.getInstanceStrong() 与虚拟机的爱恨情仇
m0_51262652的博客
06-11 215
SecureRandom.getInstancestrong()方法会返回一个"强"随机数生成器,它需要收集足够的系统熵(随机性)才能生成随机数。在某些系统环境下,特别是虚拟机或源不足的服务器上,这个过程可能会阻塞很长时间,等待系统收集足够的随机熵。使用Ruoyi-cloud 二开,将服务部署到虚拟机上后,准备登录,发现验证码一致加载不出来,接口请求超时!
SecureRandom.getInstance(“SHA1PRNG“) 弱hash安全问题
fxtxz2的专栏
07-27 796
上面这行代码存在CWE-328弱hash安全问题,需要修复一下。
java中的安全随机类SecureRandom
z_ssyy的博客
04-16 2078
// 不推荐使用SecureRandom.getInstanceStrong()方式获取SecureRandom(除非对随机要求很高) // SecureRandom.getInstanceStrong();依赖操作系统的随机操作 // 比如键盘输入, 鼠标点击, 等等, 当系统扰动很小时, 产生的随机数不够, 导致读取/dev/random的进程会阻塞等待. 可以做个小实验, 当阻塞时, 多点击鼠标, 键盘输入数据等操作, 会加速结束阻塞 SecureRandom instanceStrong = Se.
SecureRandom
ys.hubery
02-12 3421
       Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字。         相同种子数的Random对象,相同次数生成的随机数字是完全相同的。所以,两个种子数相同的Random对象,生成的随机数字完全相同。所以在需要频繁生成随机数,或者安全要求较高的时候,不要使用Ran...
SecureRandom 类!!
热门推荐
ZHENGJUEQI的专栏
09-22 1万+
此类提供加密的强随机数生成器 (RNG)。许多实现都是伪随机数生成器 (PRNG) 形式,这意味着它们将使用确定的算法根据实际的随机种子生成伪随机序列。其他实现可以生成实际的随机数,而另一些实现则可能结合使用这两项技术。 加密的强随机数至少要遵从《FIPS 140-2, Security Requirements for Cryptographic Modules 》中 4.9.1 部分指定的
SecureRandom secureRandom = new SecureRandom(); int randomNumber = 1000 + secureRandom.nextInt(9999 - 1000);
最新发布
11-07
你提供的代码: ```java SecureRandom secureRandom = new SecureRandom(); int randomNumber = 1000 + secureRandom.nextInt(9999 - 1000); ``` 我们来**逐行分析、纠正并优化它**。 --- ### ✅ 正确性分析 #### 原始代码: ```java int randomNumber = 1000 + secureRandom.nextInt(9999 - 1000); ``` 先计算范围: `9999 - 1000 = 8999` 所以这等价于: ```java secureRandom.nextInt(8999) // 返回 [0, 8998] ``` 然后加上 `1000` → 得到 `[1000, 9998]` ❌ **问题来了:最大值是 9998,永远取不到 9999!** 而你想要的是一个 **4 位数随机数**,即范围应为 `[1000, 9999]`(包含 9999),共 9000 个可能值。 --- ### ✅ 正确写法 你应该使用: ```java int randomNumber = 1000 + secureRandom.nextInt(9000); // 9000 = 9999 - 1000 + 1 ``` ✅ 这样: - `secureRandom.nextInt(9000)` → 生成 `[0, 8999]` - 加上 `1000` → `[1000, 9999]` - 完全覆盖所有四位数! --- ### ✅ 完整正确示例 ```java import java.security.SecureRandom; public class SecureFourDigitGenerator { private static final SecureRandom secureRandom = new SecureRandom(); public static int generateFourDigit() { return 1000 + secureRandom.nextInt(9000); } public static void main(String[] args) { for (int i = 0; i < 10; i++) { System.out.println(generateFourDigit()); } } } ``` 输出示例(每次运行不同): ``` 5672 1039 9845 ... ``` --- ### 🔍 关键点总结 | 表达式 | 含义 | 是否正确 | |-------|------|---------| | `secureRandom.nextInt(n)` | 生成 `[0, n)` 的整数(左闭右开) | ✅ | | `1000 + nextInt(8999)` | → `[1000, 9998]` | ❌ 缺少 9999 | | `1000 + nextInt(9000)` | → `[1000, 9999]` | ✅ 正确 | > 📌 公式:要生成 `[min, max]` 范围内的随机整数: > > ```java > int random = min + secureRandom.nextInt(max - min + 1); > ``` 应用到这里就是: ```java int random = 1000 + secureRandom.nextInt(9999 - 1000 + 1); // 即 +9000 ``` --- ### 💡 拓展:生成固定长度字符串形式的验证码(如 "0012") 如果你希望保留前导零(比如生成 `"0001"` 到 `"9999"` 的字符串格式),可以用: ```java String code = String.format("%04d", generateFourDigit()); ``` 或者直接生成 0000~9999 的字符串: ```java public static String generateFourDigitString() { return String.format("%04d", secureRandom.nextInt(10000)); } ``` 输出示例:`"0001"`, `"1234"`, `"9999"` --- ### ✅ 最佳实践建议 1. **复用 `SecureRandom` 实例**:不要频繁新建,它是线程安全的。 2. **避免硬编码数字**:使用常量提高可读性。 ```java private static final int MIN = 1000; private static final int MAX = 9999; private static final int RANGE = MAX - MIN + 1; public static int generateValidCode() { return MIN + secureRandom.nextInt(RANGE); } ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值