java - 如何生成随机字母数字字符串

Question

我一直在寻找一种简单的Java算法来生成伪随机字母数字字符串。在我的情况下，它将用作唯一的 session / key 标识符，该标识符“可能”在500K+一代中是唯一的(我的需求实际上并不需要任何更复杂的东西)。

理想情况下，我能够根据我的独特性需求指定长度。例如，生成的长度为 12 的字符串可能类似于 "AEYGF7K0DM1X"。

Answer 1

算法

要生成随机字符串，请连接从可接受的符号集中随机抽取的字符，直到字符串达到所需的长度。

实现

这里有一些相当简单且非常灵活的代码，用于生成随机标识符。 阅读以下信息以获取重要的应用说明。

public class RandomString {

    /**
     * Generate a random string.
     */
    public String nextString() {
        for (int idx = 0; idx < buf.length; ++idx)
            buf[idx] = symbols[random.nextInt(symbols.length)];
        return new String(buf);
    }

    public static final String upper = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";

    public static final String lower = upper.toLowerCase(Locale.ROOT);

    public static final String digits = "0123456789";

    public static final String alphanum = upper + lower + digits;

    private final Random random;

    private final char[] symbols;

    private final char[] buf;

    public RandomString(int length, Random random, String symbols) {
        if (length < 1) throw new IllegalArgumentException();
        if (symbols.length() < 2) throw new IllegalArgumentException();
        this.random = Objects.requireNonNull(random);
        this.symbols = symbols.toCharArray();
        this.buf = new char[length];
    }

    /**
     * Create an alphanumeric string generator.
     */
    public RandomString(int length, Random random) {
        this(length, random, alphanum);
    }

    /**
     * Create an alphanumeric strings from a secure generator.
     */
    public RandomString(int length) {
        this(length, new SecureRandom());
    }

    /**
     * Create session identifiers.
     */
    public RandomString() {
        this(21);
    }

}

使用示例

为 8 字符标识符创建不安全的生成器:

RandomString gen = new RandomString(8, ThreadLocalRandom.current());

为 session 标识符创建安全生成器:

RandomString session = new RandomString();

创建一个具有易于阅读的打印代码的生成器。这些字符串比完整的字母数字字符串更长，以补偿使用较少的符号:

String easy = RandomString.digits + "ACEFGHJKLMNPQRUVWXYabcdefhijkprstuvwx";
RandomString tickets = new RandomString(23, new SecureRandom(), easy);

用作 session 标识符

生成可能唯一的 session 标识符还不够好，或者您可以只使用一个简单的计数器。当使用可预测的标识符时，攻击者会劫持 session 。

长度和安全性之间存在紧张关系。较短的标识符更容易猜测，因为可能性较小。但较长的标识符会消耗更多的存储和带宽。较大的符号集会有所帮助，但如果标识符包含在 URL 中或手动重新输入，则可能会导致编码问题。

session 标识符的随机性或熵的潜在来源应该来自为密码学设计的随机数生成器。然而，初始化这些生成器有时计算成本昂贵或缓慢，因此应尽可能重用它们。

用作对象标识符

并非每个应用程序都需要安全性。随机分配可以是多个实体在共享空间中生成标识符而无需任何协调或分区的有效方式。协调可能会很慢，尤其是在集群或分布式环境中，并且当实体最终获得的份额太小或太大时，分割空间会导致问题。

如果攻击者能够查看和操纵未采取措施使其不可预测的标识符，则应通过其他方式对其进行保护，就像大多数 Web 应用程序中发生的情况一样。应该有一个单独的授权系统来保护其标识符可以在没有访问权限的情况下被攻击者猜测的对象。

在考虑到预期的标识符总数的情况下，还必须注意使用足够长的标识符，以防止发生冲突。这被称为“生日悖论”。 The probability of a collision, p，大约为 n²/(2q^x)，其中 n 是实际生成的标识符数量，q是字母表中不同符号的数量，x是标识符的长度。这应该是一个非常小的数字，例如 2^‑50 或更少。

计算结果表明，500k 15 个字符的标识符之间发生冲突的可能性约为 2^‑52，这可能比宇宙射线等未检测到的错误的可能性要小。

与 UUID 的比较

根据其规范，UUIDs 并非设计为不可预测的，并且不应该用作 session 标识符。

标准格式的 UUID 占用大量空间:36 个字符仅占 122 位熵。 (并非“随机”UUID 的所有位都是随机选择的。)随机选择的字母数字字符串在短短 21 个字符中包含了更多的熵。

UUID 不灵活；它们具有标准化的结构和布局。这是他们的主要优点，也是他们的主要弱点。与外部方合作时，UUID 提供的标准化可能会有所帮助。对于纯粹的内部使用，它们的效率可能很低。