使用SecureRandom踩的坑

最新推荐文章于 2024-10-11 10:15:00 发布
转载 最新推荐文章于 2024-10-11 10:15:00 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3180962/blog/861431
文章标签:

#java #python #数据库

本文介绍了一个在使用SecureRandom生成随机盐时遇到的性能问题,在Windows环境下正常运行的应用部署到Linux服务器后响应时间显著增加。文章提供了具体的代码示例,并给出了通过设置JVM参数解决此问题的方法。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

场景:最近在写一个注册服务的时候,注册密码采用的是SHA256+盐的方式,其中使用SecureRandom来生成随机盐;这里存在一个严重的坑就是SecureRandom的性能问题。该问题困扰了很久,使用本机启动服务访问注册服务都是毫秒级,但部署到linux服务器上就到了分钟级,这导致网关那边无限超时,功能无法正常使用。先查了问题看到有报数据库异常是mysql8小时问题,于是把mysql的wait_timeout改为了8小时,同时tomcat连接池增加查询心态机制(mysql8小时),调整好后,但未能真正解决服务响应慢的结局,最终发现是SecureRandom引起的问题

String result = transactionTemplate.execute(new TransactionCallback<String>() {
    @Override
    public String doInTransaction(TransactionStatus status) {
        String result = null;
        try {
            // 生成唯一标识
            String uid = Uid();
            // 生成盐
            byte[] bytes = SecureRandom.getSeed(32);
            String salt = Base64.encodeBuffer(bytes);
            // 加密密码
            String cipherPassword = CipherUtils.SHA256(password + salt);
            //具体业务

            result = uid;
        } catch (DataAccessException e) {
            logger.error(e.getMessage(), e);
            status.setRollbackOnly();
        } catch (Exception e) {
            logger.error(e.getMessage(), e);
            status.setRollbackOnly();
        }

        return result;
    }
});

 

具体解决方案及参考:

添加启动参数 -Djava.security.egd=file:/dev/./urandom,由于Linux生成随机数机制跟window不同,所以加上这个就可以避免生成随机数时时快时慢的问题

http://stackoverflow.com/questions/28201794/slow-startup-on-tomcat-7-0-57-because-of-securerandom

http://www.tuicool.com/articles/JfiQjiu

 

 

 

转载于:https://my.oschina.net/u/3180962/blog/861431

【IDEA】tomcat中war exploded加载慢
突围
09-25 461
idea
java nio ssl_java连接MQTT+SSL服务器
weixin_33419842的博客
02-16 797
java用ssl加密方式连接mqtt服务器。其它ssl加密的也可以参考,SSLSocketFactory获取部分都是一样的。了很多,根据生成工具不同(openssl和keytool)以及秘钥文件编码不同有若干种方法。这里把自己遇到的所有情况都统一记录一下。一、连接MQTT服务器不加密的连接方式之前有写过,就不赘述了,这里列出不同的地方mqttClient = new MqttClient(ho...
android与PC new SecureRandom() 的大
irizhao的专栏
06-17 3305
最后发现是SecureRandom。PC与android的结果不一样!特此记录
记录SecureRandom经历
haozz的博客
11-29 832
背景 上周工作中有个问题耽搁了很长时间,打算写个博客记录一下,算是一个小复盘。 问题 我们公司共有三个测试环境,暂且称为test1、test2、test3环境。有一个服务发布在test3环境可以正常使用,没有任何报错,但是发布在test2环境就会报错。代码都是一样的,刚开始是怀疑配置有问题,仔细检查之后没有任何问题。后来借助arthas定位到了问题在于SecureRandom。也是因为这个事情,也专门写了一篇博客记录下arthas的简单实用。 SecureRandom 使用随机数的话,一般会像这样: pub
SecureRandom产生随机数采记录
qq_36741161的博客
11-08 4533
前言:最近上线时遇到一个很诡异的问题,这个问题在测试环境和pr环境都没问题,但是在生产环境必现,排查配置、代码是否一致等原因后,最终通过cat生成的traceId和研读代码,花费了两个小时,定位到问题是由于SecureRandom产生随机数系统熵池中数量不足,阻塞了当前线程。记录一下这个经验,希望大家规避掉类似的使用~ 情境描述以及随机算法介绍 系统中经常有获取随机数的场景,我们通常new一个Random对象,通过random.nextInt(size)来获取一个随机数。通过jdk8中对Random类的
java SecureRandom.getInstanceStrong()随机数的深
weisian的博客
11-03 2520
2、SecureRandom.getInstanceStrong()造成阻塞的原因:在不同的系统环境执行的底层代码不相同,在linux系统中通过底层NativePRNG方法,通过/dev/random方式读取随机数,/dev/random方式受系统环境的影响容易造成线程阻塞;1、在获取随机数时,使用new Random()写发时,在sonar扫描提示建议使用SecureRandom.getInstanceStrong()语法获取。
使用java.security.SecureRandom安全生成随机数和随机字符串工具类
Innocence_0的博客
07-12 630
Java中,可以使用java.security.SecureRandomjava.util.Random类来生成随机数,但是它们之间有以下区别:类提供了更高的随机性强度。它使用了更安全的算法和种子生成器,以提供更高质量的随机数。这对于需要高度安全性的应用程序(如密码学)非常重要。相比之下,Random类的随机性较弱,适用于一般的非安全性需求。类会使用随机性更强的种子生成器来初始化自身。这些种子生成器会从操作系统或其他随机源获取更好的随机性种子。而Random。
你真的了解字典(Dictionary)吗? C# Memory Cache 记录 .net 泛型 结构化CSS设计思维 WinForm POST上传与后台接收 高效实用的.NET开源项目...
02-11 2409
你真的了解字典(Dictionary)吗? 从一道亲身经历的面试题说起 半年前,我参加我现在所在公司的面试,面试官给了一道题,说有一个Y形的链表,知道起始节点,找出交叉节点.为了便于描述,我把上面的那条线路称为线路1,下面的称为线路2. 思路1 先判断线路1的第一个节点的下级节点是否是线路2的第一个节点,如果不是,再判断是不是线路2的第二个,如果也不是,判断是不是第...
android ipv6http请求失败,Glide+OkHttp访问IPv6出错的解决方案
weixin_28862557的博客
05-27 2200
使用Glide的过程中了不少,相信很多人也遇到过,首先Glide默认使用的是HttpUrlConnection来下载图片,一般场景足够了,高级点的,直接换用okhttp,Glide官网也有相关教程,再高级点,Glide+OkHttp+Https(私有证书),方案网上也有,自定义GlideModule即可@GlideModulepublic class OkHttpGlideModule ex...
jdbc 加密之 DES 算法
weidong_y的博客
07-22 2060
1.没有加密前,我们的 jdbc.propertites 文件的信息上这样的: #没有加密的 jdbc.driver=com.mysql.jdbc.Driver jdbc.url=jdbc:mysql://localhost:3306/o2o?useUnicode=true&amp;characterEncoding=utf8 jdbc.username=root jdbc.password=...
PhoneCheckUtil手机号正则验证工具类 和 SecureRandom 生成安全随机数工具类
小米吃辣椒的博客
04-24 1724
PhoneCheckUtil package com.tnar.utils; /** * @author dzx * @ClassName: * @Description: * @date 2019年04月19日 16:14:36 */ import java.util.regex.Matcher; import java.util.regex.Pattern; import...
SecureRandom
weixin_30377461的博客
04-21 542
引用原文:https://www.cnblogs.com/deng-cc/p/8064481.html 我们知道,Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字。 相同种子数的Random对象,相同次数生成的随机数字是完全相同的。也就是说,两个种子数相同的Ra...
python代码加密运行_python如何实现与此java程序一样的DES加密
weixin_39631467的博客
11-24 385
先上程序,Java程序DesUtils.javaimport java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.SecretKey;import javax.crypto.SecretKeyFactory;import javax.crypto.spec.DESKeySpec;public class...
真伪随机数 ——Random和SecureRandom
weixin_30312563的博客
08-12 1588
Random Random用来创建伪随机数。所谓伪随机数,是指只要给定一个初始的种子,产生的随机数序列是完全一样的。 要生成一个随机数,可以使用nextInt()、nextLong()、nextFloat()、nextDouble(): Random r = new Random(); r.nextInt(); // 2071575453,每次都不一样 r.nextInt(10); // 5,...
Java 中的 SecureRandom 与 Random 深度解析:安全性、性能与应用场景
最新发布
WenZhang的博客
10-11 1773
对于性能优先、对安全性没有严格要求的场景,Random是首选。对于安全性至关重要的场景(如加密、身份认证),毫不犹豫地选择。
python aes加密每次密码不一样_记AES加密在linux系统每次都不一样的问题
weixin_33773996的博客
03-01 485
记AES加密在linux系统每次都不一样的问题在项目中通常会用到AES的加密方法,具体代码如下package com.mt.demo.client.utils;import lombok.extern.slf4j.Slf4j;import org.bouncycastle.jce.provider.BouncyCastleProvider;import org.springframework.st...
Java 随机数 Random VS SecureRandom
artaganan8的博客
04-10 446
https://www.jianshu.com/p/2f6acd169202
如何解决ssl通信中,因SecureRandom引起的性能和thread block问题
北欧巨墙
10-01 2933
问题描述: 大概问题是一个项目运行过程中,突然大量线程被阻塞,导致应用超时无响应(此处省去检测方法,自己搜索,可以参考中间件如tomcat的线程配置、jsack使用) jstack后,如下是大量线程信息,基本所有线程都是如下: java.lang.Thread.State: BLOCKED (on object monitor)     at sun.security.provider.Na...
MySQL数据加密存储
cn_220107的博客
05-06 1099
实现思路:通过自定义加解密拦截器,判断是否加解密实体类字段,调用加解密处理类执行具体算法加解密。
SecureRandom使用
04-05
以下是SecureRandom使用示例: 1. 生成随机数 ```java SecureRandom random = new SecureRandom(); int randomNumber = random.nextInt(); System.out.println(randomNumber); ``` 2. 生成随机字节数组 ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值