文章讨论了在旧代码中使用random类可能带来的安全性问题,因为它生成的是可预测的伪随机数。推荐在需要高安全性的场景下使用SecureRandom,特别是通过getInstanceStrong()获取高强度随机数生成器。如果无法获取,文章提供了一个工具类作为备选,使用普通安全随机数生成器。工具类处理了可能出现的NoSuchAlgorithmException异常,确保方法调用的稳定性。
一、Random
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的
基本算法:linear congruential pseudorandom number generator (LGC) 先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常
二、SecureRandom
所以我写了一个工具类用来提供这个方法可以让其地方调这个方法而且不用处理异常
public class SecureRandomUtil {
//生成日志类
private static Logger logger = LoggerFactory.getLogger(SecureRandomUtil.class);
public static int getSecureRandom(int size) {
SecureRandom sr = null;
try {
sr = SecureRandom.getInstanceStrong(); // 获取高强度安全随机数生成器
} catch (NoSuchAlgorithmException e) {
logger.error(e.getMessage(), e);
sr = new SecureRandom(); // 获取普通的安全随机数生成器
}
//限制获取出来的随机数最大值
int i = sr.nextInt(size);
return i;
}
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
