ThreadLocal<KeyGenerator>方法吗?
更新:一个相关的问题是Is SecureRandom thread safe?虽然JavaDoc没有声明该类是线程安全的,但社区仍然认为决定是线程安全的,这对于实际应用非常重要。我想了解KeyProvider的情况。除非文档明确保证线程安全,否则请将任何内容视为非线程安全。
你说得对,如果缺乏线程安全文档,则这种哲学几乎没有什么帮助......但是如果文档不保证线程安全,那么你就不能假设某些东西是或将继续是线程安全的。
这是一些关于KeyGenerator实际实现的研究,以及为什么我们不能假设它是线程安全的。
我找到了源代码,乍一看,当前的实现似乎是线程安全的。然而,即使我们假设这个实现永远不会改变,它还是调用了Security Providers,这可能是他们自己的任何实现,也没有保证是线程安全的,因为文档上没有说明。
来源摘要:
调用generateKey()使用“密钥生成服务提供程序”调用KeyGeneratorSpi.engineGenerateKey() (可能不是线程安全的)来生成SecretKey。
如果您使用特定提供程序构建了KeyGenerator,则它将使用该特定提供程序来生成密钥。
如果您没有使用特定提供程序构建KeyGenerator,则nextSpi()将通过JVM可用提供程序列表进行迭代(线程安全),并尝试生成密钥,直到其中一个起作用或者您用完了提供程序。
主要问题在于文档... 如果文档没有提到线程安全性,那么任何当前实现者或对当前实现的更新可能都不是线程安全的。
因此,您不能简单地假设或依赖于 KeyGenerator 的任何线程安全性。
KeyGeneratorSpi,它可能真的是任何东西... - xtraticKeyGeneratorSpi.engineGenerateKey()的文档没有线程安全要求,因此KeyGenerator方法的线程安全实际上是一个无关紧要的问题。 - xtratic