一次由于SecureRandom使用不当引起的线程阻塞

问题起因

一个对外提供的接口,中间需要调用第三方接口,涉及到三方机密问题,其中使用到了安全随机数
之前的写法如下

public static String randomCode() {
    Random r = new Random();
    StringBuilder str = new StringBuilder();
    for (int i=0;i<6;i++){
        str.append((r.nextInt(10)));
    }
    return str.toString();
}

被solar扫面到不符合规范于是就改成下面的:

public class CodeUtil {

    private CodeUtil() {}

    // SecureRandom is preferred to Random
    private static Random rand;

    static {
        try {
            rand = SecureRandom.getInstanceStrong();
        } catch (NoSuchAlgorithmException e) {
            log.error("NoSuchAlgorithmException: {}", e);
        }
    }

    public static String randomCode() {
        StringBuilder str = new StringBuilder();
        for (int i=0;i<6;i++){
            str.append((rand.nextInt(10)));
        }
        return str.toString();
    }
}

bug现象

之前所有调用对外暴漏的服务的时候都是正常的,第二天莫名其妙的报错
一次由于SecureRandom使用不当引起的线程阻塞_第1张图片
一次由于SecureRandom使用不当引起的线程阻塞_第2张图片
一次由于SecureRandom使用不当引起的线程阻塞_第3张图片
根据这个报错很自然就是想到服务调用超时,于是各种设置feign调用超时时间,但是都没有起到效果,本地测试服务调用时间,发现时间开销也并不是很高,总是感觉客户端链接一到服务端就断开了,于是估计因该是服务端的问题,但是本地调用也没有问题,甚至在服务中sleep了30s,依然没有显示超时,排查了一个下午,也没有搞明白到底是什么错误

曙光

当时也不知道是什么力量让我在服务器上打出了一个top命令,发现了一个叫java的进程,pid为1,于是就jstack了一下,惊喜的返现下面这些懂
一次由于SecureRandom使用不当引起的线程阻塞_第4张图片
一次由于SecureRandom使用不当引起的线程阻塞_第5张图片
仔细观察了一下发现所有的http线程都阻塞在了同一把锁上面,这个时候问题基本已经定位到了
于是还原了一下源代码,问题成功解决

SecureRandom存在哪些问题

百度了一些文章
偶遇 JDK 1.8 还未修复的 SecureRandom.getInstance(“SHA1PRNG”) 之 bug

你可能感兴趣的:(java,并发编程)