本文共 753 字，大约阅读时间需要 2 分钟。

java.util.Random

    生成随机数根使用系统时钟时间作为种子，采用线性同余生成算法生成随机数，由于使用时间作为种子因此攻击者如果知道系统时钟时间，可以寄计算并预测随机数生成内容，安全性低。因此推荐使用java.util.SecureRandom. 如果对于安全性要求不高，依旧可以使用Random, 生成速度比SecureRandom要快。

java.util.SecureRandom

   生成随机数使用系统随机数据作为种子，在linux系统中常见的随机数据取自/dev/random, /dev/urandom。Random生成的随机数如果攻击者暴力破解需要2^48，SecureRandom则需要2^128. SecureRandom默认使用Native PRNG算法生成随机数，如果程序调用随机数频率远高于系统生成的随机数熵的速率，则会出现生成随机数阻塞(nextBytes读取 /dev/random随机数据的速度远高于系统写入数据的速度)。

   注意：使用SecureRandom时，避免使用默认的SecureRandom.getInstanceStrong会导致生成随机数阻塞。应使用指定算法的实例SecureRandom.getInstance("NativePRNGNonBlocking")。对于SecureRandom，通过设置-Djava.security.egd=file:///dev/urandom是不生效的，因为SecureRandom有单独的配置，在jre/lib/security/java.security文件里：securerandom.strongAlgorithms=NativePRNGBlocking:SUN，默认算法NativePRNGBlocking。

转载地址：http://pspef.baihongyu.com/