Math.random()

JavaScript高級程序設(shè)計（第4版）

Math.random() 方法返回一個 0~1 范圍內(nèi)的隨機數(shù)，其中包含 0 但不包含 1。

MDN

Math.random() 函數(shù)返回一個浮點，偽隨機數(shù)在范圍0到小于1，也就是說，從0（包括0）往上，但是不包括1（排除1），然后您可以縮放到所需范圍。實現(xiàn)將初始種子選擇到隨機數(shù)生成算法；它不能被用戶選擇或重置。

一個非密碼學(xué)安全的隨機數(shù)來源。

JavaScript4 高級程序設(shè)計（第4版）中 注意 提示：

Math.random()方法在這里出于演示目的是沒有問題的。如果是為了加密而需要生成隨機數(shù)（傳給生成器的輸入需要較高的不確定性），那么建議使用window.crypto. getRandomValues()。

思考

之前沒看到關(guān)于 Math.ramdom() 的類似提示，發(fā)現(xiàn)日常開發(fā)中有時也會遇到通過 Math.random() 進行一些基礎(chǔ)的隨機加密操作，但從來沒意識到安全問題。接下來看下 window.crypto. getRandomValues()

window.crypto.getRandomValues()

MDN

Crypto.getRandomValues() 方法讓你可以獲取符合密碼學(xué)要求的安全的隨機值。傳入?yún)?shù)的數(shù)組被隨機值填充（在加密意義上的隨機）。

為了確保足夠的性能，不使用真正的隨機數(shù)生成器，但是它們正在使用具有足夠熵值偽隨機數(shù)生成器。它所使用的 PRNG 的實現(xiàn)與其他不同，但適用于加密的用途。該實現(xiàn)還需要使用具有足夠熵的種子，如系統(tǒng)級熵源。

在瀏覽器中運行

window.crypto.getRandomValues()

總結(jié)

開發(fā)中如果只是隨意生成一個數(shù)字，可以直接使用 Math.random(),如果涉及到安全就需要使用 window.crypto.getRandomValues() 了，注意這里的 getRandomValues 的參數(shù)傳遞，在使用時也需要確保 window.crypto.getRandomValues 可用，在 node 中使用需要安裝 get-random-values 庫。

參考鏈接

https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Math/random

https://developer.mozilla.org/zh-CN/docs/Web/API/Crypto

https://developer.mozilla.org/zh-CN/docs/Web/API/RandomSource/getRandomValues

https://www.npmjs.com/package/get-random-values