jdk默认random的安全替代方案

最新推荐文章于 2023-08-25 11:10:50 发布
原创 最新推荐文章于 2023-08-25 11:10:50 发布 · 置顶 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WEB安全

默认的JDK Random生成的随机数可能存在安全风险,适合于对安全性要求较高的金融系统。推荐使用优化的非阻塞算法PRNG,如SHA-1的替代方案,以增强随机性和安全性。该算法线程安全,可以通过调整播种大小来平衡随机性与内存使用。通过不断增量替换种子以确保随机性不会降低。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

默认random的随机数生成方案经官方测试是不够随机的,并有安全暴力猜测的安全风险,对于安全较高,并且吞吐量要求较低的一般性金融类系统,推荐使用。实现源码如下:

默认是SHA1的算法,我换成了稍稍优化的非阻塞算法PRNG,这也是官方推荐的

 

SHA-1应该是不安全的,贴一篇博文有兴趣的可以看一下

https://www.cnblogs.com/merlindu/p/6545588.html

 

工具线程安全,内部加锁,有兴趣的同学可以使用原子引用优化阻塞锁,以及相关内存等,这里主要关注安全

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import java.security.SecureRandom;

/**
 * @date 19-4-25
 * @auther jackliang
 * @description TODO
 */
@Slf4j
public class SecurityRandomUtils {

    private static SecureRandom secureInstance          =                    null;

    private static final int WIND_POS                   =               (2 << 9) >> 3;

    private static final int NUMBER_BYTES               =                      10;

    private static final String SHA_TAGS                = "NativePRNG
最低0.47元/天 解锁文章

200万优质内容无限畅学
Jdk17新特性
Mr.xing的博客
07-23 490
JDK 17作为Java SE的一个重要版本,引入了许多新特性和改进,这些新特性旨在提升Java的性能、安全性和开发效率。
反射案例、JDK1.8新特性
m0_67496588的博客
05-29 853
反射案例,JDK1.8新特性简介,Lambda表达式,函数式接口,方法、构造方法和数组引用,Stream
Java基础之替代Random生成随机数验证码
CharlesYan的博客
12-09 2705
介绍Random和SecureRandom生成随机数的区别,了解真伪随机数
java 改变seed值_改变random.seed()种子值,获取同的随机值
weixin_32207033的博客
02-28 652
random.seed()random.seed()是随机数种子,也就是为随机数提供算法,完全相同的种子产生的随机数列是相同的,所以如果想产生同的随机数就需要用当前时间作为种子一般情况下seek值使用时间来更行通过这种方法,使得每次随机数是相同的import randomlist=range(10)random.shuffle(list) #[1, 6, 9, 7, 5, 2, 4, 8, ...
一声叹息,jdk竟然有4个random
小姐姐味道
07-09 1411
我们从jdk8说起。主要是四个随机数生成器。神马?有四个?接下来我们简单说下这几个类的使用场景,来了解其中的细微差别,和api设计者的良苦用心。java.util.Ran...
Random函数的安全性问题与SecureRandom
weixin_30699465的博客
08-12 363
电脑是一种具有确定性的机器, 因此可能产生真正的随机性。 伪随机数生成器 (PRNG) 近似于随机算法, 始于一个能计算后续数值的种子。PRNG 包括两种类型: 统计学的 PRNG 和密码学的 PRNG。 统计学的 PRNG 提供很多有用的统计属性, 但其输出结果很容易预测, 因此容易复制数值流。 在安全性所依赖的生成值可预测的情况下, 这种类型并适用。 密码学的 PRNG 生成的...
【Android-Java】随机数产生,使用SecureRandom替代Random
weixin_44002043的博客
04-14 2013
疑问提出 阅读某些源码时候发现采用的是SecureRandom random = new SecureRandom(); rand = random.nextInt(19);//这里的数值是[0,19) 开区间 之前一般都是采用Random对象来实现。过,该对象最好需要一个seed种子。它产生的序列一般都是伪随机数序列。 SecureRandom这个对象是更高级还是如何? 答疑解惑 真伪随机数 ——Random和SecureRandom ...
JDK8 Stream 详细使用
热门推荐
Al_assad的博客
09-03 1万+
JDK8 管道 Stream 详细使用介绍   Stream 的获取 ① 通过集合Collection获取 List&lt;Integer&gt; list = new ArrayList&lt;Integer&gt;(Arrays.asList(1,2,3,4,5)); Stream&lt;Integer&gt; stream = list.stream(); ② 通过数组获取 ...
bcprov-ext-jdk15on-154.jar和bcprov-jdk15on-154.jar (2)
11-06
2. 配置Java Secure Random provider,确保Bouncy Castle被用作安全提供者。这可以通过代码或`java.security`配置文件实现。 3. 如果需要自定义DH参数,可以使用Bouncy Castle提供的类创建和导入。 4. 重启应用,...
剖析JDK源码-Random -(12)
weixin_45295678的博客
01-26 234
剖析JDK源码-Random -(12) 一、简述 该类的实例用于生成伪随机数。该类使用原值为48位的种子,其使用线性同余公式进行修改。如果使用相同的种子创建两个Random,并且对每个实例进行相同的方法调用该序列,则它们将生成并返回相同的数字序列。通过调用私有方法next(int bits)方法可以提供多达32个伪随机生成位。java.util.Random是线程安全的。 但是,跨线程的同时使用java.util.Random实例可能会遇到争用,从而导致性能下降。但java.util.Random是加
python random.seed()
泡泡龙的泡泡
11-29 808
random.seed()方法改变随机数生成器的种子,可以在调用其他随机模块函数之前调用此函数。 import random random.seed ( [x] ) 调用 random.random() 生成随机数时,每一次生成的数都是随机的。但是,当我们预先使用 random.seed(x) 设定好种子之后,其中的 x 可以是任意数字,如10,这个时候,先调用它的情况下,使用 random() 生成的随机数将会是同一个。 参数:x – 改变随机数生成器的种子 seed。如果你了解其原理,你必特别去设
JDK中的随机数机制探究
shihuan830619的专栏
05-31 697
今天有同事问起关于JDK1.8中默认random问题。 JDK1.8中的java security默认变成random了,JDK1.6和JDK1.7中的java security默认是urandom。 这里就详细探究一下JDKrandom与urandom的关系。 首先:random是阻塞机制的,urandom是非阻塞机制的。 其次:urand...
[JDK源码]Random,你以为的随机数都是伪的
weixin_63498283的博客
08-25 197
Random源码。
JAVA中的Random详解
m0_49266497的博客
11-23 4746
java中两种Random的用法详解
使用rand替换random模块
weixin_30336061的博客
01-15 196
random模块使用相同的种子,在同的进程中会出现相同的结果。 rand的模块使用同的种子,在同的进程中会出现相同的结果。 2个模块都是erlang自带的。 然后erlang在文档里面注明推荐使用rand替换random 最近部署出了问题,就是因为项目有个文件名称也是rand.erl,源码删了,但编译生成的beam没删除,部署出去了,导致了出故障重启了好几次。以后一定要删除编...
RandomUtils工具类
芷芸的博客
05-19 1662
RandomUtils工具类 package com.zhongfu.utils; import java.nio.charset.Charset; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.text.DecimalFormat; import java.text.SimpleDateFormat; import java.util.Date; import
安全Random
Pure_Eyes的博客
06-26 1773
jdk自带的Random生成随机数放在生产环境是安全的,存在暴利破解的风险,并且虽然其实线程安全的,但可能发生线程竞争降低效率。 考虑并发性能时可采用ThreadLocalRandom 考虑高安全性时可采用SecureRandom ...
commons-lang RandomStringUtil 常用方法
xmind果果
02-27 2560
package com.fanfan.commons.lang; import org.apache.commons.lang.RandomStringUtils; import org.junit.Test; public class RandomStringUtilsTest { @Test public void random() { System...
【java学习】RandomStringUtils
liudongdong_jlu
11-16 1150
// 产生5位长度的随机字符串,中文环境下是乱码 String r = RandomStringUtils.random(5); System.out.println(r); // 使用指定的字符生成5位长度的随机字符串 r = RandomStringUtils.random(5, new char[] ...
jdk版本比较
最新发布
05-08
| JDK8 | G1成为默认 | Fork/Join优化 | 元空间替代永久代 | | JDK11 | ZGC(实验性) | 异步HTTP客户端 | 堆外内存分配优化 | | JDK17 | ZGC支持并发压缩 | Loom项目初步集成 | 字符串压缩加速 | | JDK21 | 分代ZGC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值