本文正在参加「Java主题月 - Java Debug笔记活动」,详情查看活动链接
提问:如何生成随机的字母数字字符串作为 session 的唯一标识符?
我一直在寻找一种简单的 Java 算法来生成伪随机的字母数字字符串。在我的需求里,它将用作唯一的会话/密钥标识符,在超过 500K+ 个可能性结果中“可能”是唯一的(我的需求实际上不需要任何更复杂的东西)。
理想情况下,我可以根据自己的独特需求指定长度。例如,生成的长度为 12 的字符串可能为 "AEYGF7K0DM1X" 这样 。
高分回答1:
算法
若要生成随机字符串,请连接从可接受符号集中随机抽取的字符,直到字符串达到所需长度。
实现
下面是一段非常简洁而且灵活的代码,用于生成随机标识符。阅读下面的代码,了解重要的应用说明:
public class RandomString {
/**
* Generate a random string.
*/
public String nextString() {
for (int idx = 0; idx < buf.length; ++idx)
buf[idx] = symbols[random.nextInt(symbols.length)];
return new String(buf);
}
public static final String upper = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
public static final String lower = upper.toLowerCase(Locale.ROOT);
public static final String digits = "0123456789";
public static final String alphanum = upper + lower + digits;
private final Random random;
private final char[] symbols;
private final char[] buf;
public RandomString(int length, Random random, String symbols) {
if (length < 1) throw new IllegalArgumentException();
if (symbols.length() < 2) throw new IllegalArgumentException();
this.random = Objects.requireNonNull(random);
this.symbols = symbols.toCharArray();
this.buf = new char[length];
}
/**
* 创建字母数字字符串生成器。
*/
public RandomString(int length, Random random) {
this(length, random, alphanum);
}
/**
* 从安全生成器创建字母数字字符串。
*/
public RandomString(int length) {
this(length, new SecureRandom());
}
/**
* 创建会话标识符。
*/
public RandomString() {
this(21);
}
}
使用示例
为 8 个字符的标识符创建不安全的生成器:
RandomString gen = new RandomString(8, ThreadLocalRandom.current());
为会话标识符创建一个安全的生成器:
RandomString session = new RandomString();
创建具有易于阅读的代码的生成器以进行打印。字符串比完整的字母数字字符串长,以补偿使用较少的符号:
String easy = RandomString.digits + "ACEFGHJKLMNPQRUVWXYabcdefhijkprstuvwx";
RandomString tickets = new RandomString(23, new SecureRandom(), easy);
用作会话标识符
生成可能唯一的会话标识符还不够好,或者你可以只使用一个简单的计数器。使用可预测的标识符时,可能会导致攻击者劫持到会话。
字符串的长度和安全性之间是对立的。标识符越短越容易猜测,因为可能性较小。但是更长的标识符会消耗更多的存储空间和带宽。而较大的一组符号会有所帮助,但如果标识符包含在 URL 中或手动重新输入,则可能会导致编码问题。
会话标识符的基本随机性或熵源应来自为密码学设计的随机数生成器。但是,初始化这些生成器有时会在计算上开销过大或缓慢,因此应努力在可能的情况下重新使用它们。
用作对象标识符
并非每个应用程序都需要安全性。随机分配可能是多个实体在共享空间中生成标识符而无需任何协调或分区的有效方法。协调可能会很慢,尤其是在群集或分布式环境中,当实体最终共享的份额太小或太大时,划分空间将会引起问题。
如果攻击者能够像大多数 Web 应用程序一样查看和操纵它们,则未采取措施使它们无法预测的所产生的标识符应受到其他保护。应该有一个单独的授权系统来保护对象,这些对象的标识符可以在没有访问权限的情况下被攻击者猜中。
考虑到预期的标识符总数,还必须小心使用足够长的标识符,以免发生碰撞。这被称为“生日悖论”。发生碰撞的概率 p 大约为n2/(2qx),其中 n 是实际生成的标识符的数量,q是字母中不同符号的数量,并且 x 是标识符的长度。这应该是一个很小的数字,例如 2 - 50 或更少。
得出的结论表明,在 500k 个 15 个字符的标识符之间发生碰撞的机会约为 2 到 52,这比宇宙射线等未检测到的错误的可能性要小。
与UUID的比较
根据其规范,UUID 并非不可预测,因此不应用作会话标识符。
标准格式的 UUID 会占用大量空间:36 个字符仅代表 122位熵。(并非“随机”UUID 的所有位都是随机选择的。)随机选择的字母数字字符串仅21 个字符就包含了更多的熵。
UUID 并不灵活:它们具有标准化的结构和布局。这是他们的主要优点,同时也是他们的重要缺点。在与外部方合作时,UUID 提供的标准化可能会有所帮助。如果仅用于内部使用,那么它们的效率可能会很低。
高分回答2:
Java 提供了一种直接实现这一点的方法。如果你不想要破折号,它们很容易去掉。只需使用 uuid.replace(“-”,“”) 即可,代码如下:
import java.util.UUID;
public class randomStringGenerator {
public static void main(String[] args) {
System.out.println(generateString());
}
public static String generateString() {
String uuid = UUID.randomUUID().toString();
return "uuid = " + uuid;
}
}
输出结果:
uuid = 2d7428a6-b58c-4008-8575-f05549f16316
出处:
文章翻译自 Stack Overflow :How to generate a random alpha-numeric string
