字符

字符

关注
发信
mysql - MySQL连接并根据其列值进行计数
javascript - 如何使用Flask为POST请求添加确认对话框?
c# - 从主摄像机拍摄弹丸时左右瞄准
c# - 使用XPATH从XML文档中选择特定值?
java - 什么会导致Hibernate 4“连接过多”
java - 如何为Oracle Adf应用模块浏览器设置sql驱动程序
python - 将python脚本的结果传递给ExtendScript`.jsx`文件
python - 计算日期范围内的Python Pandas数据框的最大值
java - 使用默认编辑器工具包在系统剪贴板上放置文本
java - 从路径字符串解析Java对象树中的字段的最有效方法是什么?
javascript - 延迟仅加载整个页面的Javascript
ios - Swift计算的属性返回值
java - JTable列标题模糊
javascript - 等待每个循环
android - Android,试图将Eclipse项目移动到不同的工作区

java - 如何生成随机的字母数字字符串?

扫码查看

我一直在寻找一种简单的Java算法来生成伪随机的字母数字字符串。在我的情况下,它将用作唯一的会话/密钥标识符,在“ 500K+”代中“可能”是唯一的(我的需求实际上不需要任何更复杂的东西)。

理想情况下,我可以根据自己的独特性要求指定长度。例如,生成的长度为12的字符串可能看起来像"AEYGF7K0DM1X"

最佳答案

算法

要生成随机字符串,请连接从可接受的符号集中随机抽取的字符,直到字符串达到所需的长度为止。

实作

这是一些相当简单且非常灵活的代码,用于生成随机标识符。阅读以下信息以获取重要的应用笔记。

public class RandomString {

    /**
     * Generate a random string.
     */
    public String nextString() {
        for (int idx = 0; idx < buf.length; ++idx)
            buf[idx] = symbols[random.nextInt(symbols.length)];
        return new String(buf);
    }

    public static final String upper = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";

    public static final String lower = upper.toLowerCase(Locale.ROOT);

    public static final String digits = "0123456789";

    public static final String alphanum = upper + lower + digits;

    private final Random random;

    private final char[] symbols;

    private final char[] buf;

    public RandomString(int length, Random random, String symbols) {
        if (length < 1) throw new IllegalArgumentException();
        if (symbols.length() < 2) throw new IllegalArgumentException();
        this.random = Objects.requireNonNull(random);
        this.symbols = symbols.toCharArray();
        this.buf = new char[length];
    }

    /**
     * Create an alphanumeric string generator.
     */
    public RandomString(int length, Random random) {
        this(length, random, alphanum);
    }

    /**
     * Create an alphanumeric strings from a secure generator.
     */
    public RandomString(int length) {
        this(length, new SecureRandom());
    }

    /**
     * Create session identifiers.
     */
    public RandomString() {
        this(21);
    }

}


用法示例

为8个字符的标识符创建不安全的生成器:

RandomString gen = new RandomString(8, ThreadLocalRandom.current());


为会话标识符创建一个安全的生成器:

RandomString session = new RandomString();


创建具有易于阅读的代码的生成器以进行打印。字符串比完整的字母数字字符串长,以补偿使用更少的符号:

String easy = RandomString.digits + "ACEFGHJKLMNPQRUVWXYabcdefhijkprstuvwx";
RandomString tickets = new RandomString(23, new SecureRandom(), easy);


用作会话标识符

生成可能唯一的会话标识符还不够好,或者您可以只使用一个简单的计数器。使用可预测的标识符时,攻击者会劫持会话。

长度和安全性之间存在张力。标识符越短越容易猜测,因为可能性较小。但是更长的标识符会消耗更多的存储空间和带宽。较大的一组符号会有所帮助,但如果标识符包含在URL中或手动重新输入,则可能会导致编码问题。

会话标识符的基本随机性或熵源应来自为密码学设计的随机数生成器。但是,初始化这些生成器有时会在计算上昂贵或缓慢,因此应努力在可能的情况下重新使用它们。

用作对象标识符

并非每个应用程序都需要安全性。随机分配可能是多个实体在共享空间中生成标识符而无需任何协调或分区的有效方法。协调可能会很慢,尤其是在集群或分布式环境中,当实体最终共享的份额太小或太大时,划分空间会引起问题。

如果攻击者能够像大多数Web应用程序中那样查看和操纵它们,则未采取措施使它们无法预测的所产生的标识符应受到其他保护。应该有一个单独的授权系统来保护对象,这些对象的标识符可以在没有访问权限的情况下被攻击者猜中。

考虑到预期的标识符总数,还必须小心使用足够长的标识符,以免发生冲突。这被称为“生日悖论”。 The probability of a collision, p大约为n2 /(2qx),其中n是实际生成的标识符的数量,q是字母中不同符号的数量,x是标识符的长度。这应该是一个很小的数字,例如2-50或更少。

得出的结论表明,500k个15个字符的标识符之间发生冲突的机会约为2–52,这可能比宇宙射线等未检测到的错误的可能性小。

与UUID的比较

根据其规范,UUIDs并非设计为不可预测的,因此不应用作会话标识符。

标准格式的UUID占用大量空间:36个字符仅代表122位熵。 (并非“随机” UUID的所有位都是随机选择的。)随机选择的字母数字字符串仅21个字符就包含了更多的熵。

UUID不灵活;它们具有标准化的结构和布局。这是他们的主要优点,也是主要的缺点。与外部方合作时,UUID提供的标准化可能会有所帮助。仅用于内部使用,它们可能效率很低。

07-24 19:18
查看更多
Powered by LMLPHP ©2025 字符 0.031666