问题起因

一个对外提供的接口，中间需要调用第三方接口，涉及到三方机密问题，其中使用到了安全随机数
之前的写法如下

public static String randomCode() {
    Random r = new Random();
    StringBuilder str = new StringBuilder();
    for (int i=0;i<6;i++){
        str.append((r.nextInt(10)));
    }
    return str.toString();
}

被solar扫面到不符合规范于是就改成下面的：

public class CodeUtil {

    private CodeUtil() {}

    // SecureRandom is preferred to Random
    private static Random rand;

    static {
        try {
            rand = SecureRandom.getInstanceStrong();
        } catch (NoSuchAlgorithmException e) {
            log.error("NoSuchAlgorithmException: {}", e);
        }
    }

    public static String randomCode() {
        StringBuilder str = new StringBuilder();
        for (int i=0;i<6;i++){
            str.append((rand.nextInt(10)));
        }
        return str.toString();
    }
}

bug现象

之前所有调用对外暴漏的服务的时候都是正常的，第二天莫名其妙的报错



根据这个报错很自然就是想到服务调用超时，于是各种设置feign调用超时时间，但是都没有起到效果，本地测试服务调用时间，发现时间开销也并不是很高，总是感觉客户端链接一到服务端就断开了，于是估计因该是服务端的问题，但是本地调用也没有问题，甚至在服务中sleep了30s，依然没有显示超时，排查了一个下午，也没有搞明白到底是什么错误

曙光

当时也不知道是什么力量让我在服务器上打出了一个top命令，发现了一个叫java的进程，pid为1，于是就jstack了一下，惊喜的返现下面这些懂


仔细观察了一下发现所有的http线程都阻塞在了同一把锁上面，这个时候问题基本已经定位到了
于是还原了一下源代码，问题成功解决

SecureRandom存在哪些问题

百度了一些文章
偶遇 JDK 1.8 还未修复的 SecureRandom.getInstance(“SHA1PRNG”) 之 bug