根据您的要求更改字符串字符。字符串是不可变的。这里StringBuilder.append比字符串串联更有效。

public static String getRandomString(int length) {
    final String characters = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJLMNOPQRSTUVWXYZ1234567890!@#$%^&*()_+";
    StringBuilder result = new StringBuilder();

    while(length > 0) {
        Random rand = new Random();
        result.append(characters.charAt(rand.nextInt(characters.length())));
        length--;
    }
    return result.toString();
}

算法

要生成随机字符串，请连接从可接受符号集合中随机抽取的字符，直到字符串达到所需长度。

实施

这里有一些非常简单且非常灵活的代码，用于生成随机标识符。阅读以下信息，了解重要的应用注意事项。

public class RandomString {

    /**
     * Generate a random string.
     */
    public String nextString() {
        for (int idx = 0; idx < buf.length; ++idx)
            buf[idx] = symbols[random.nextInt(symbols.length)];
        return new String(buf);
    }

    public static final String upper = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";

    public static final String lower = upper.toLowerCase(Locale.ROOT);

    public static final String digits = "0123456789";

    public static final String alphanum = upper + lower + digits;

    private final Random random;

    private final char[] symbols;

    private final char[] buf;

    public RandomString(int length, Random random, String symbols) {
        if (length < 1) throw new IllegalArgumentException();
        if (symbols.length() < 2) throw new IllegalArgumentException();
        this.random = Objects.requireNonNull(random);
        this.symbols = symbols.toCharArray();
        this.buf = new char[length];
    }

    /**
     * Create an alphanumeric string generator.
     */
    public RandomString(int length, Random random) {
        this(length, random, alphanum);
    }

    /**
     * Create an alphanumeric strings from a secure generator.
     */
    public RandomString(int length) {
        this(length, new SecureRandom());
    }

    /**
     * Create session identifiers.
     */
    public RandomString() {
        this(21);
    }

}

用法示例

为8个字符的标识符创建一个不安全的生成器：

RandomString gen = new RandomString(8, ThreadLocalRandom.current());

为会话标识符创建安全生成器：

RandomString session = new RandomString();

创建一个带有易于阅读的代码的生成器，以便打印。字符串比完整的字母数字字符串长，以补偿使用更少的符号：

String easy = RandomString.digits + "ACEFGHJKLMNPQRUVWXYabcdefhijkprstuvwx";
RandomString tickets = new RandomString(23, new SecureRandom(), easy);

用作会话标识符

生成可能是唯一的会话标识符还不够好，或者您可以只使用一个简单的计数器。攻击者在使用可预测标识符时劫持会话。

长度和安全性之间存在紧张关系。更短的标识符更容易猜测，因为可能性更小。但较长的标识符消耗更多的存储和带宽。较大的符号集有帮助，但如果URL中包含标识符或手动重新输入标识符，则可能会导致编码问题。

会话标识符的随机性或熵的潜在来源应该来自为密码学设计的随机数生成器。然而，初始化这些生成器有时会在计算上很昂贵或很慢，因此应尽可能重新使用它们。

用作对象标识符

并非每个应用程序都需要安全性。随机分配可以是多个实体在共享空间中生成标识符的有效方式，而无需任何协调或分区。协调可能会很慢，特别是在集群或分布式环境中，如果实体最终共享的空间太小或太大，则拆分空间会导致问题。

如果攻击者能够查看和操纵标识符，则应通过其他方式保护未采取措施使其不可预测的标识符，这在大多数web应用程序中都会发生。应该有一个单独的授权系统来保护攻击者在没有访问权限的情况下可以猜测其标识符的对象。

考虑到预期的标识符总数，还必须注意使用足够长的标识符，以避免冲突。这被称为“生日悖论”。冲突的概率p约为n2/（2qx），其中n是实际生成的标识符的数量，q是字母表中不同符号的数量，x是标识符的长度。这应该是一个非常小的数字，比如2‑50或更少。

计算结果表明，500k15个字符的标识符之间发生冲突的可能性约为2-52，这可能比宇宙射线等未检测到的错误更不可能。

与UUID的比较

根据他们的规范，UUID不是设计为不可预测的，不应该用作会话标识符。

标准格式的UUID占用了大量空间：36个字符只代表122位熵。（并非“随机”UUID的所有位都是随机选择的。）随机选择的字母数字字符串仅在21个字符中包含更多的熵。

UUID不灵活；它们具有标准化的结构和布局。这是他们的主要优点，也是他们的主要弱点。与外部合作时，UUID提供的标准化可能会有所帮助。对于纯内部使用，它们可能效率低下。

import java.util.Date;
import java.util.Random;

public class RandomGenerator {

  private static Random random = new Random((new Date()).getTime());

    public static String generateRandomString(int length) {
      char[] values = {'a','b','c','d','e','f','g','h','i','j',
               'k','l','m','n','o','p','q','r','s','t',
               'u','v','w','x','y','z','0','1','2','3',
               '4','5','6','7','8','9'};

      String out = "";

      for (int i=0;i<length;i++) {
          int idx=random.nextInt(values.length);
          out += values[idx];
      }
      return out;
    }
}

这里有一个简单的一行代码，使用UUID作为字符基础，可以指定（几乎）任何长度。（是的，我知道以前有人建议使用UUID。）

public static String randString(int length) {
    return UUID.randomUUID().toString().replace("-", "").substring(0, Math.min(length, 32)) + (length > 32 ? randString(length - 32) : "");
}

如果密码必须包含数字和字母特殊字符，则可以使用以下代码：

private static final String NUMBERS = "0123456789";
private static final String UPPER_ALPHABETS = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
private static final String LOWER_ALPHABETS = "abcdefghijklmnopqrstuvwxyz";
private static final String SPECIALCHARACTERS = "@#$%&*";
private static final int MINLENGTHOFPASSWORD = 8;

public static String getRandomPassword() {
    StringBuilder password = new StringBuilder();
    int j = 0;
    for (int i = 0; i < MINLENGTHOFPASSWORD; i++) {
        password.append(getRandomPasswordCharacters(j));
        j++;
        if (j == 3) {
            j = 0;
        }
    }
    return password.toString();
}

private static String getRandomPasswordCharacters(int pos) {
    Random randomNum = new Random();
    StringBuilder randomChar = new StringBuilder();
    switch (pos) {
        case 0:
            randomChar.append(NUMBERS.charAt(randomNum.nextInt(NUMBERS.length() - 1)));
            break;
        case 1:
            randomChar.append(UPPER_ALPHABETS.charAt(randomNum.nextInt(UPPER_ALPHABETS.length() - 1)));
            break;
        case 2:
            randomChar.append(SPECIALCHARACTERS.charAt(randomNum.nextInt(SPECIALCHARACTERS.length() - 1)));
            break;
        case 3:
            randomChar.append(LOWER_ALPHABETS.charAt(randomNum.nextInt(LOWER_ALPHABETS.length() - 1)));
            break;
    }
    return randomChar.toString();
}

这在没有任何外部库的情况下很容易实现。

1.密码伪随机数据生成（PRNG）

首先，您需要加密PRNG。Java具有SecureRandom，通常使用机器上最好的熵源（例如/dev/random）。在这里阅读更多信息。

SecureRandom rnd = new SecureRandom();
byte[] token = new byte[byteLength];
rnd.nextBytes(token);

注意：SecureRandom是Java中生成随机字节的最慢但最安全的方法。但是，我建议不要在这里考虑性能，因为它通常不会对应用程序产生实际影响，除非您必须每秒生成数百万个令牌。

2.可能值的所需空间

接下来，你必须决定你的令牌需要“多么独特”。考虑熵的唯一目的是确保系统能够抵御暴力攻击：可能值的空间必须如此之大，以至于任何攻击者只能在非荒谬的时间1内尝试微不足道的一部分值。

唯一标识符（如随机UUID）具有122位熵（即，2^122=5.3x10^36）-冲突的可能性为“*（…），要有十亿分之一的重复机会，必须生成103万亿版本4 UUID 2”。我们将选择128位，因为它正好适合16个字节，而且对于基本上每一个但最极端的用例来说，它都是唯一的，而且您不必考虑重复。这是一个简单的熵比较表，包括生日问题的简单分析。

对于简单的需求，8或12字节的长度可能就足够了，但对于16字节，您处于“安全侧”。

基本上就是这样。最后一件事是考虑编码，以便将其表示为可打印文本（读，字符串）。

3.二进制到文本编码

典型编码包括：

Base64每个字符编码6位，产生33%的开销。幸运的是，Java 8+和Android中有标准实现。对于较旧的Java，您可以使用众多第三方库中的任何一个。如果您希望令牌是URL安全的，请使用RFC4648的URL安全版本（大多数实现通常支持该版本）。使用填充编码16个字节的示例：XfJhfv3C0P6ag7y9VQxSbw==Base32每个字符编码5位，产生40%的开销。这将使用A-Z和2-7，使其具有合理的空间效率，同时不区分大小写。JDK中没有任何标准实现。无填充编码16字节的示例：WUPIL5DQZGMF4D3NX5L7LNFOYBase16（十六进制）每个字符编码四位，每个字节需要两个字符（即，16字节创建长度为32的字符串）。因此，十六进制的空间效率低于Base32，但在大多数情况下（URL）使用它是安全的，因为它只使用0-9和A到F。示例编码16个字节：4fadd0f57cb3bf331441ed285b27735。请参阅此处有关转换为十六进制的堆栈溢出讨论。

诸如Base85和奇异Base122之类的附加编码具有更好/更差的空间效率。您可以创建自己的编码（本主题中的大多数答案都是这样做的），但如果您没有非常具体的要求，我建议您不要这样做。请参阅维基百科文章中的更多编码方案。

4.总结和示例

使用SecureRandom至少使用16字节（2^128）的可能值根据您的要求进行编码（如果需要字母数字，通常为十六进制或32进制）

不要

……使用您自己编写的编码：如果其他人看到您使用的标准编码，而不是每次创建字符时使用的奇怪循环，则可以更好地维护和阅读。…使用UUID：它不保证随机性；您浪费了6位熵，并且有一个冗长的字符串表示

示例：十六进制令牌生成器

public static String generateRandomHexToken(int byteLength) {
    SecureRandom secureRandom = new SecureRandom();
    byte[] token = new byte[byteLength];
    secureRandom.nextBytes(token);
    return new BigInteger(1, token).toString(16); // Hexadecimal encoding
}

//generateRandomHexToken(16) -> 2189df7475e96aa3982dbeab266497cd

示例：Base64令牌生成器（URL安全）

public static String generateRandomBase64Token(int byteLength) {
    SecureRandom secureRandom = new SecureRandom();
    byte[] token = new byte[byteLength];
    secureRandom.nextBytes(token);
    return Base64.getUrlEncoder().withoutPadding().encodeToString(token); //base64 encoding
}

//generateRandomBase64Token(16) -> EEcCCAYuUcQk7IuzdaPzrg

示例：Java CLI工具

如果您想要现成的CLI工具，可以使用dice：

示例：相关问题-保护当前ID

如果您已经有一个可以使用的id（例如，实体中的合成long），但不想发布内部值，则可以使用此库对其进行加密和模糊处理：https://github.com/patrickfav/id-mask

IdMask<Long> idMask = IdMasks.forLongIds(Config.builder(key).build());
String maskedId = idMask.mask(id);
// Example: NPSBolhMyabUBdTyanrbqT8
long originalId = idMask.unmask(maskedId);