这个Java加密代码线程安全吗?
我想将以下代码用于高并发应用程序,其中某些数据必须加密和解密。因此,我需要知道应该同步这段代码的哪一部分,如果有的话,以避免不可预测的问题。
public class DesEncrypter {
Cipher ecipher;
Cipher dcipher;
// 8-byte Salt
byte[] salt = {
(byte)0xA9, (byte)0x9B, (byte)0xC8, (byte)0x32,
(byte)0x56, (byte)0x35, (byte)0xE3, (byte)0x03
};
int iterationCount = 19;
DesEncrypter(String passPhrase) {
try {
// Create the key
KeySpec keySpec = new PBEKeySpec(passPhrase.toCharArray(), salt, iterationCount);
SecretKey key = SecretKeyFactory.getInstance( "PBEWithMD5AndDES").generateSecret(keySpec);
ecipher = Cipher.getInstance(key.getAlgorithm());
dcipher = Cipher.getInstance(key.getAlgorithm());
// Prepare the parameter to the ciphers
AlgorithmParameterSpec paramSpec = new PBEParameterSpec(salt, iterationCount);
// Create the ciphers
ecipher.init(Cipher.ENCRYPT_MODE, key, paramSpec);
dcipher.init(Cipher.DECRYPT_MODE, key, paramSpec);
} catch (...)
}
public String encrypt(String str) {
try {
// Encode the string into bytes using utf-8
byte[] utf8 = str.getBytes("UTF8");
// Encrypt
byte[] enc = ecipher.doFinal(utf8);
// Encode bytes to base64 to get a string
return new sun.misc.BASE64Encoder().encode(enc);
} catch (...)
}
public String decrypt(String str) {
try {
// Decode base64 to get bytes
byte[] dec = new sun.misc.BASE64Decoder().decodeBuffer(str);
// Decrypt
byte[] utf8 = dcipher.doFinal(dec);
// Decode using utf-8
return new String(utf8, "UTF8");
} catch (...)
}
}如果我在每次调用的encrypt()和decrypt()方法中创建一个新的密码,那么我就可以避免并发问题,我只是不确定为每次调用获得一个新的密码实例是否有很多开销。
public String encrypt(String str) {
try {
// Encode the string into bytes using utf-8
byte[] utf8 = str.getBytes("UTF8");
// Encrypt
//new cipher instance
ecipher = Cipher.getInstance(key.getAlgorithm());
byte[] enc = ecipher.doFinal(utf8);
// Encode bytes to base64 to get a string
return new sun.misc.BASE64Encoder().encode(enc);
} catch (...)回答 3
Stack Overflow用户
发布于 2011-03-15 11:22:57
如果它们同时被多个线程使用,那么它们只需要是线程安全的。因为这个类的每个实例可能只由一个线程使用,所以不需要担心它是否是threadsafe。
在不相关的注释中,使用硬编码的salt、nonce或IV从来不是一个好主意。
Stack Overflow用户
发布于 2011-03-15 11:18:37
标准规则是-除非Javadoc明确声明Java库中的类是线程安全的,否则应该假定它不是线程安全的。
在此特定实例中:
- 各种类在文档中都不是线程安全的。
-
Cipher.getInstance(...)和SecretKeyFactory.getInstance(...)方法被记录为返回新对象,即不引用其他线程可能引用的现有对象。
更新- javadoc这样说:
“返回一个新的SecretKeyFactory对象,该对象封装了来自支持指定算法的第一个提供程序的SecretKeyFactorySpi实现。”
此外,source code明确地确认创建并返回了一个新对象。
简而言之,这意味着您的Cipher类目前不是线程安全的,但是您应该能够通过同步相关的操作(例如encode和decode)来使其线程安全,并且不公开两个DesEncryptor对象。如果同步这些方法可能会造成瓶颈,那么可以为每个线程创建一个单独的DesEncryptor实例。
Stack Overflow用户
发布于 2011-03-15 11:29:27
Cipher对象将不是线程安全的,因为它保留了有关加密过程的内部状态。这也适用于您的DesEncrypter类--每个线程都需要使用它自己的DesEncrypter实例,除非您同步了encode和decode方法。
https://stackoverflow.com/questions/5307132
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号