UUID.randomUUID（）是否适合用作一次性密码？

UUID.randomUUID（）是否适合用作一次性密码？

否。 根据UUID规范：

不要以为UUID很难猜测；例如，它们不应用作安全功能（仅拥有所有权即可授予访问权限的标识符）。可预测的随机数源将加剧这种情况。

同样，UUID仅具有16个可能的字符（0到F）。您可以使用

SecureRandom

（感谢@erickson）生成更紧凑，更明确安全的随机密码。

import java.security.SecureRandom;import java.math.BigInteger;public final class PasswordGenerator {    private SecureRandom random = new SecureRandom();    public String nextPassword() {        return new BigInteger(130, random).toString(32);    }}