一次由于SecureRandom使用不当引起的线程阻塞

已于 2022-09-29 14:56:37 修改
阅读量1.6k 收藏 1
点赞数 2
分类专栏: java 并发编程 文章标签: java
于 2020-05-06 15:24:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wmq930626/article/details/105951216
版权

问题起因

一个对外提供的接口,中间需要调用第三方接口,涉及到三方机密问题,其中使用到了安全随机数
之前的写法如下

public static String randomCode() {
    Random r = new Random();
    StringBuilder str = new StringBuilder();
    for (int i=0;i<6;i++){
        str.append((r.nextInt(10)));
    }
    return str.toString();
}

被solar扫面到不符合规范于是就改成下面的:

public class CodeUtil {

    private CodeUtil() {}

    // SecureRandom is preferred to Random
    private static Random rand;

    static {
        try {
            rand = SecureRandom.getInstanceStrong();
        } catch (NoSuchAlgorithmException e) {
            log.error("NoSuchAlgorithmException: {}", e);
        }
    }

    public static String randomCode() {
        StringBuilder str = new StringBuilder();
        for (int i=0;i<6;i++){
            str.append((rand.nextInt(10)));
        }
        return str.toString();
    }
}

bug现象

之前所有调用对外暴漏的服务的时候都是正常的,第二天莫名其妙的报错
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
根据这个报错很自然就是想到服务调用超时,于是各种设置feign调用超时时间,但是都没有起到效果,本地测试服务调用时间,发现时间开销也并不是很高,总是感觉客户端链接一到服务端就断开了,于是估计因该是服务端的问题,但是本地调用也没有问题,甚至在服务中sleep了30s,依然没有显示超时,排查了一个下午,也没有搞明白到底是什么错误

曙光

当时也不知道是什么力量让我在服务器上打出了一个top命令,发现了一个叫java的进程,pid为1,于是就jstack了一下,惊喜的返现下面这些懂
在这里插入图片描述
在这里插入图片描述
仔细观察了一下发现所有的http线程都阻塞在了同一把锁上面,这个时候问题基本已经定位到了
于是还原了一下源代码,问题成功解决

SecureRandom存在哪些问题

百度了一些文章
偶遇 JDK 1.8 还未修复的 SecureRandom.getInstance(“SHA1PRNG”) 之 bug

你们都是坏孩子00
关注
专栏目录
SecureRandom引发的线程阻塞问题分析,容器场景下只有单节点报错排查
weixin_41816333的博客
03-23 780
另外,SecureRandom.getInstanceStrong() 方法会根据系统提供的安全随机数生成器 (RNG) 生成随机数,而不同的操作系统和硬件平台可能使用不同的 RNG 实现,因此在不同的机器上可能会出现不同的问题。但是,在多线程环境下使用 SecureRandom 可能会存在线程阻塞的问题,因为 SecureRandom 对象的生成是基于系统熵池的,当多个线程同时访问 SecureRandom 对象时,可能会因为竞争熵池导致线程阻塞。除了线程阻塞问题,还有一些其他的问题需要注意。
SecureRandom.getInstanceStrong引起线程阻塞
qq_38536878的博客
03-30 1872
项目场景: 某个项目中,sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,于是就换成了使用SecureRandom.getInstanceStrong()获取SecureRandom并调用nextInt()。 悲剧开始了... 问题描述 在生产环境(linux)产生较长时间的阻塞,造成了nginx返回大量499,一度以为是tomcat不接收消息或是nginx转发问题,但开发环境(windows10)并未重现。 原因分析: 通过jstack发现,有599个线
SecureRandom 引发的线程阻塞
guorun18的专栏
09-23 8242
写在前面--每个人都是在不断碰壁中获得成长,bug的逼格越高, 成长速度越快。 本人上周亲手写下了一个牛逼的bug,直接导致的结果是,晚上12点升级后台接口以后,第二天早上7点多开始,所有的app页面出现卡顿,白屏。公司研发老总,迅速召集公司运维大佬,产品大佬,研发大佬奔赴公司解决bug。所有人,开始手忙脚乱,查看线上日志,抓包,阿尔萨斯监听 接口耗时。各个大神,各种手段,各显才...
ThreadLocalRandomsecureRandom解释及区别
最新发布
chen2017sheng的博客
08-02 1059
java生成随机数,ThreadLocalRandomSecureRandom,随机数生成器
SecureRandom.getInstance()导致线程阻塞发生
qq_45559536的博客
11-17 1439
SecureRandom.getInstance()导致线程阻塞发生的复盘
linux多线程随机数,随机数SecureRandom在Linux下阻塞
weixin_35973521的博客
05-09 536
问题背景在项目中,需要使用随机数,直接使用new Random()效率太低,为了提高随机性和性能,sonar建议,使用子类java.security.SecureRandom来实现。问题程序public class Test {public static void main(String[] args) throws java.security.NoSuchAlgorithmException {...
SecureRandom 在Linux 环境下线程阻塞问题
xingyuncaojun的博客
10-30 1215
项目中遇到一个问题,排查了一天,终于知道原因了。 环境介绍:本地 windos,正式 linux 用Random生成随机数,然后扫描软件说不安全,不推荐用,推荐用SecureRandom,然后改成这样。 Random rand = SecureRandom.getInstanceStrong(); int i2 = rand.nextInt(i); 改完之后测试本地没有问题,发布,然后正式调用这个方法的页面,死活保存不了,后台也不报错。用最笨的方法每行代码下面打印一句话的方法,发现是随机数的问
jdk1.8 SecureRandom线程阻塞解决方法
weixin_41123389的博客
03-09 1098
最近vms-voice项目在发了一个版本之后,发现有个接口总是漏数据,于是通过增加日志进行定位和排查,最后定位到一个简单的for循环,如下图: 上午一行begin日志会打印,下面的end不会打印,而且没有异常和错误抛出。这就是一个简单的for循环,然后设置一下redis,太不符合逻辑科学了。 整个for循环里面可能出问题的代码只有3个点: 生成随机数 序列化 设置redis 凭直觉肯定没结果,只能在for循环里面增加日志,最终锁定问题出现在随机数生成的方法调用那一行。 ...
SecureRandom生成随机数慢(阻塞)问题解决记录
liinux-Talk is cheap,show me the code.
01-15 3512
Java的随机数实现有很多坑,记录一下这次使用jdk1.8里新增的加强版随机数实现SecureRandom.getInstanceStrong()遇到的问题。 之前在维护ali-tomcat的时候曾发现过jvm随机数算法选用不当导致tomcat的SessionID生成非常慢的情况,可以参考JVM上的随机数与熵池策略和Docker中apache-tomcat启动慢的问题这两篇文章。不过当时...
securerandom:制作一个随机的十六进制字符串
05-31
这将生成一个随机的十六进制字符串。 它的功能类似于 Ruby 中的 SecureRandom.hex 方法。 用法 var SecureRandom = require('securerandom'); console.log(SecureRandom.hex(12)); // prints a random 12 byte ...
SecureRandom的正确使用
weixin_33738555的博客
07-18 6205
目录 1. 什么是安全的随机数? 2. 怎么得到安全的随机数 3. SecureRandom最佳实践 3.1 基本用法 3.2 关于种子的设置 3.3 熵源不足时阻塞问题 4. 小结 1. 什么是安全的...
深坑:SecureRandom.getInstanceStrong() next方法阻塞啦
Rocky的博客
11-03 2846
背景 我遇到的场景是,我们有个生成随机数的场景,采用的便是 SecureRandom.getInstanceStrong() 获取Random 实例。在windows电脑以及在docker环境中都运行正常,所以没发现问题。直到我们把代码部署到centos系统中时发现了问题(没有采用docker)。就发现这个方法执行时间很长,导致前端接口504 time out 错误。 最开始感觉很纳闷,一样的代码怎么会这样子。经过排查才发现是next方法执行时间很长导致的。 深究原因可以参考: https://blog.c
SecureRandom导致的问题~
Cathy
12-18 825
我也遇到了这个问题,记录一下~ 那些年我曾犯过的错-SecureRandom
java随机数导致的阻塞
weixin_44048908的博客
02-25 435
random函数阻塞解决思路
随机数SecureRandom的使用
qq_54894935的博客
02-08 414
#随机数SecureRandom的使用 public class Rudom_01 { public static void main(String[] args) throws NoSuchAlgorithmException { SecureRandom random1 = SecureRandom.getInstance("SHA1PRNG"); SecureRandom random2 = SecureRandom.getInstance("SHA1PRNG"
java securerandom使用_Java SecureRandom的合理使用
weixin_30599521的博客
02-26 543
Proper use of Java SecureRandomAugust 14, 2009When generating random numbers in Java for cryptographic purposes, many developers often use the java.security.SecureRandom class. And while the java.secu...
Java基础篇--SecureRandom(安全随机)类
qq_53058639的博客
02-24 2403
类是Java中用于生成安全的随机数的一个类。与普通的不同,它提供了一种可信赖的随机数生成器,用于生成具有高度随机性的随机数。类的实例使用了更加安全的随机数生成算法,这些算法通常经过密码学和安全专家的审查和认证。它们被设计为在保密性、完整性和不可预测性等方面具有更高的安全性。下面是一些nextInt():生成一个伪随机的int值。// 生成int范围内的随机整数:生成一个介于0(包括)和指定值n(不包括)之间的伪随机int值。// 生成0到99之间的随机整数。
java中的安全随机类SecureRandom
z_ssyy的博客
04-16 1761
// 不推荐使用SecureRandom.getInstanceStrong()方式获取SecureRandom(除非对随机要求很高) // SecureRandom.getInstanceStrong();依赖操作系统的随机操作 // 比如键盘输入, 鼠标点击, 等等, 当系统扰动很小时, 产生的随机数不够, 导致读取/dev/random的进程会阻塞等待. 可以做个小实验, 当阻塞时, 多点击鼠标, 键盘输入数据等操作, 会加速结束阻塞 SecureRandom instanceStrong = Se.
java random 阻塞 原因查找
qjxtdxwfjava的博客
08-20 954
以下为转载:https://blog.csdn.net/weixin_38287155/article/details/95891886 SecureRandom 在随机数安全一文中提过安全随机数的概念 , 这里不具体描述 , 就是指强伪随机数甚至真随机数 . 在Java中除了弱伪随机数生成器java.util.Random之外 , 也提供了java.security.SecureRandom这...
SecureRandom使用
04-05
SecureRandomJava中用于生成加密强度随机数的类。它使用安全的随机数生成器算法来生成高质量的随机数,并可以用于生成随机密码、加密密钥、随机数等。以下是SecureRandom的使用示例: 1. 生成随机数 ```java SecureRandom random = new SecureRandom(); int randomNumber = random.nextInt(); System.out.println(randomNumber); ``` 2. 生成随机字节数组 ```java SecureRandom random = new SecureRandom(); byte[] randomBytes = new byte[16]; random.nextBytes(randomBytes); System.out.println(Arrays.toString(randomBytes)); ``` 3. 生成随机密码 ```java SecureRandom random = new SecureRandom(); String password = new BigInteger(130, random).toString(32); System.out.println(password); ``` 4. 生成随机加密密钥 ```java SecureRandom random = new SecureRandom(); KeyGenerator keyGen = KeyGenerator.getInstance("AES"); keyGen.init(128, random); SecretKey secretKey = keyGen.generateKey(); System.out.println(secretKey); ``` 在以上示例中,我们使用SecureRandom生成了随机数、随机字节数组、随机密码和随机加密密钥。在实际应用中,SecureRandom可以用于生成任何需要高质量随机数的场合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值