问题起因

一个对外提供的接口,中间需要调用第三方接口,涉及到三方机密问题,其中使用到了安全随机数
之前的写法如下

public static String randomCode() {
    Random r = new Random();
    StringBuilder str = new StringBuilder();
    for (int i=0;i<6;i++){
        str.append((r.nextInt(10)));
    }
    return str.toString();
}

被solar扫面到不符合规范于是就改成下面的:

public class CodeUtil {

    private CodeUtil() {}

    // SecureRandom is preferred to Random
    private static Random rand;

    static {
        try {
            rand = SecureRandom.getInstanceStrong();
        } catch (NoSuchAlgorithmException e) {
            log.error("NoSuchAlgorithmException: {}", e);
        }
    }

    public static String randomCode() {
        StringBuilder str = new StringBuilder();
        for (int i=0;i<6;i++){
            str.append((rand.nextInt(10)));
        }
        return str.toString();
    }
}

bug现象

之前所有调用对外暴漏的服务的时候都是正常的,第二天莫名其妙的报错

 

 

 

 

 

 根据这个报错很自然就是想到服务调用超时,于是各种设置feign调用超时时间,但是都没有起到效果,本地测试服务调用时间,发现时间开销也并不是很高,总是感觉客户端链接一到服务端就断开了,于是估计因该是服务端的问题,但是本地调用也没有问题,甚至在服务中sleep了30s,依然没有显示超时,排查了一个下午,也没有搞明白到底是什么错误

曙光
当时也不知道是什么力量让我在服务器上打出了一个top命令,发现了一个叫java的进程,pid为1,于是就jstack了一下,惊喜的返现下面这些懂

 

 

 

 仔细观察了一下发现所有的http线程都阻塞在了同一把锁上面,这个时候问题基本已经定位到了
于是还原了一下源代码,问题成功解决。

SecureRandom.getInstanceStrong(); 是jdk1.8里新增的加强版随机数实现

如果你的服务器在Linux操作系统上,这里的罪魁祸首是SecureRandom generateSeed()。它使用/dev/random生成种子。但是/dev/random是一个阻塞数字生成器,如果它没有足够的随机数据提供,它就一直等,这迫使JVM等待。键盘和鼠标输入以及磁盘活动可以产生所需的随机性或熵。但在一个服务器缺乏这样的活动,可能会出现问题

有2种解决方案:

1. 在Tomcat环境中解决:

可以通过配置 JRE 使用非阻塞的 Entropy Source:
在 catalina.sh 中加入这么一行:-Djava.security.egd=file:/dev/./urandom 即可。
 

2. 在 JVM 环境中解决(本人使用此方法):

打开jdk安装路径 $JAVA_PATH/jre/lib/security/java.security 这个文件,找到下面的内容:
securerandom.source=file:/dev/random
替换成:
securerandom.source=file:/dev/./urandom
 

问题完美解决

这里值为何要在 dev 和 random 之间加一个点呢?是因为一个 JDK 的 bug,有人反馈即使对 securerandom.source 设置为
/dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对 securerandom.source
设置为 /dev/./urandom 才行。也有人评论说这个不是 bug,是有意为之。


————————————————
版权声明:本文为CSDN博主「你们都是坏孩子00」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/wmq930626/java/article/details/105951216