问题描述

线上环境中很容易出现一个java应用启动非常耗时的情况,在日志中可以发现是session引起的随机数问题导致的

o.a.c.util.SessionIdGeneratorBase        : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [170,241] milliseconds.

分析

在Springboot程序中有内置的tomcat,在tomcat给的优化文档中,有一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。

他提到tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”

private String secureRandomAlgorithm = "SHA1PRNG";

在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random和/dev/urandom。区别为:

/dev/random是阻塞的发生器

在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止

而 /dev/urandom 则是一个非阻塞的发生器:

dev/random的一个副本是/dev/urandom (”unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。

这也并不是说明/dev/urandom不是做高强度的伪随机数生成器,这个讨论可以看这个讨论:/dev/urandom 不得不说的故事

解决方法

方法一

jre/lib/security/java.security 这个文件里面把

securerandom.source=file:/dev/random

改为

securerandom.source=file:/dev/./urandom

方法二

在启动参数中添加以下系统属性

-Djava.security.egd=file:/dev/./urandom

这个系统属性egd表示熵收集守护进程(entropy gathering daemon),但这里值为何要在dev和random之间加一个点呢?是因为一个jdk的bug,在这个bug的连接里有人反馈及时对 securerandom.source 设置为 /dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对securerandom.source设置为 /dev/./urandom 才行

多说一嘴

在Docker中如何添加系统参数呢

首先在build镜像时 要使用ENTRYPOINT 举个例子

FROM jdk:alpine-security8

WORKDIR /

#解决中文乱码问题

ENV LANG en_US.UTF-8

ENV LANGUAGE en_US:en

ENV LC_ALL en_US.UTF-8

ADD sms-server.jar sms-server.jar

ADD application.properties application.properties

ADD bootstrap.properties bootstrap.properties

ENV TZ=Asia/Shanghai

RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

##使用如下的命令  添加-e JAVA_OPT是不起作用的

#ENTRYPOINT ["java","-jar","sms-server.jar"]

##要使用这条命令才行

ENTRYPOINT java ${JAVA_OPTS} -jar sms-server.jar

然后在启动命令中添加对应的-e参数就可以了 举个例子

docker run --name sms-server-security \

## 如下即可

-e JAVA_OPTS='-Djava.security.egd=file:/dev/./urandom' \

-e spring.cloud.nacos.discovery.server-addr=192.169.1.82:8848 \

-e spring.cloud.nacos.config.server-addr=192.169.1.82:8848 \

-e spring.cloud.nacos.config.ext-config[0].data-id=sms-server-node1.properties \

-p 8070:8090  \

-v /opt/sms_server/log:/log \

-v /opt/sms_server/nacos:/root/nacos \

-d \

3a1c93c34756

参考

https://hongjiang.info/jvm-random-and-entropy-source/

最新文章

  1. php如何防止图片盗用/盗链的两种方法(转)
  2. Oracle/SQL 修改字段类型和长度
  3. JS构造函数的用法和JS原型
  4. [转] When exactly does the virtual table pointer (in C++) gets set for an object?
  5. 图形性能(widgets的渲染性能太低,所以推出了QML,走硬件加速)和网络性能(对UPD性能有实测数据支持)
  6. 在JLabel上显示图片,并且图片自适应JLabel的大小
  7. 解决model 里 NSInteger类型
  8. python3[爬虫实战] 使用selenium,xpath爬取京东手机
  9. shunting-yard 调度场算法、中缀表达式转逆波兰表达式
  10. BZOJ 1912 巡逻(算竞进阶习题)
  11. BZOJ4381[POI2015]Odwiedziny——分块+长链剖分
  12. Java 多线程 高可用原则
  13. php手撸轻量级开发(二)框架加载
  14. Calendar Game HDU - 1079
  15. Python小白学习之路(十九)—【文件操作步骤】【文件操作模式】
  16. oracle中REF Cursor用法
  17. 跟我学算法-PCA(降维)基本原理推导
  18. CodeBlocks调试器设置错误问题
  19. redis命令_ZREVRANGEBYSCORE
  20. css 的通用样式 设置 和倒计时功能 移动轮播图的手势滑动的功能

热门文章

  1. 2018-div-matrix 题解(打表)
  2. Kubernetes-20:日志聚合分析系统—Loki的搭建与使用
  3. .nnmodel to .mlmodel
  4. springmvc<一> 一些特殊的Bean
  5. PyQt(Python+Qt)学习随笔:QScrollArea滚动区域的scrollAreaWidgetContents、widget及setWidget等相关概念解释
  6. PyQt(Python+Qt)学习随笔:QStandardItemModel指定行和列创建模型中的项以及索引
  7. PyQt学习随笔:重写setData方法截获Model/View中视图数据项编辑的注意事项
  8. 【.Net Core】 使用 Nginx 发布 .Net Core 3.1 项目至LInux(Centos7)。
  9. RedHat操作指令第2篇
  10. Shell命令和流程控制[linux常用命令的使用]