Tomcat 启动时 SecureRandom 非常慢解决办法
最近使用阿里云的 Ubuntu 16.04 ESC服务器运行 Tomcat时发现,Tomcat启动的特别慢,通过查看日志,发现时间主要花在实例化 SecureRandom对象上了。实例化该对象使用了253秒,导致整个应用启动了275秒之久。
根本原因是 SecureRandom 这个 jre 的工具类的问题。在 SHA1PRNG 中,有一个种子产生器,它根据配置执行各种操作。Tomcat 7/8 都使用 org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom 类产生安全随机类 SecureRandom 的实例作为会话 ID。Tomcat 使用 SHA1PRNG 算法是基于 SHA-1 算法实现且保密性较强的伪随机数生成器。在 SHA1PRNG 中,有一个种子产生器,它根据配置执行各种操作。
Linux 中的随机数可以从两个特殊的文件中产生,一个是 /dev/urandom,另外一个是 /dev/random。他们产生随机数的原理是利用当前系统的熵池来计算出固定一定数量的随机比特,然后将这些比特作为字节流返回。熵池就是当前系统的环境噪音,熵指的是一个系统的混乱程度,系统噪音可以通过很多参数来评估,如内存的使用,文件的使用量,不同类型的进程数量等等。如果当前环境噪音变化的不是很剧烈或者当前环境噪音很小,比如刚开机的时候,而当前需要大量的随机比特,这时产生的随机数的随机效果就不是很好了。
这就是为什么会有 /dev/urandom 和 /dev/random 这两种不同的文件,后者在不能产生新的随机数时会阻塞程序,而前者不会(ublock),当然产生的随机数效果就不太好了,这对加密解密这样的应用来说就不是一种很好的选择。/dev/random 会阻塞当前的程序,直到根据熵池产生新的随机字节之后才返回,所以使用 /dev/random 比使用 /dev/urandom 产生大量随机数的速度要慢。
SecureRandom generateSeed使用 /dev/random生成种子。但是 /dev/random是一个阻塞数字生成器,如果它没有足够的随机数据提供,它就一直等,这迫使 JVM 等待。键盘和鼠标输入以及磁盘活动可以产生所需的随机性或熵。但在一个服务器缺乏这样的活动,可能会出现问题。
2.有2种解决方案:1)可以通过配置 JRE 使用非阻塞的 Entropy Source:在 catalina.sh 中加入这么一行:-Djava.security.egd=file:/dev/./urandom 即可。
2)打开 $JAVA_PATH/jre/lib/security/java.security 这个文件,找到下面的内容:securerandom.source=file:/dev/random替换为securerandom.source=file:/dev/./urandom
这里值为何要在 dev和 random之间加一个点呢?是因为一个 JDK 的 bug,有人反馈即使对 securerandom.source设置为 /dev/urandom它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对 securerandom.source设置为 /dev/./urandom才行。也有人评论说这个不是 bug,是有意为之。
- 上一篇
Java通过Jedis连接Redis的三种方式的操作工具类
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。
- 下一篇
@PathVariable、@RequestParam等常用SpringMVC注解
在Spring MVC中,可以使用 @PathVariable注解方法参数并将其绑定到URI模板变量的值上,其中参数是不能为空的,可以有多个注解。