为什么 char 数组比 String 更适合存储密码?

共 1478字,需浏览 3分钟

 ·

2020-09-16 07:54


作者 Yujiaao

来源 segmentfault.com/a/1190000019962661


另一个基于 String 的棘手 Java 问题,相信我只有很少的 Java 程序员可以正确回答这个问题。


这是一个真正艰难的核心 Java 面试问题,并且需要对 String 的扎实知识才能回答这个问题。

这是最近在 Java 面试中向我的一位朋友询问的问题。

他正在接受技术主管职位的面试,并且有超过6年的经验。如果你还没有遇到过这种情况,那么字符数组和字符串可以用来存储文本数据,但是选择一个而不是另一个很难。

但正如我的朋友所说,任何与 String 相关的问题都必须对字符串的特殊属性有一些线索,比如不变性,他用它来说服访提问的人。在这里,我们将探讨为什么你应该使用char[]存储密码而不是String的一些原因。

字符串:

1) 由于字符串在 Java 中是不可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它,并且为了可重用性,会存在 String 在字符串池中, 它很可能会保留在内存中持续很长时间,从而构成安全威胁。

由于任何有权访问内存转储的人都可以以明文形式找到密码,这是另一个原因,你应该始终使用加密密码而不是纯文本。

由于字符串是不可变的,所以不能更改字符串的内容,因为任何更改都会产生新的字符串,而如果你使用char[],你就可以将所有元素设置为空白或零。

因此,在字符数组中存储密码可以明显降低窃取密码的安全风险。

2) Java 本身建议使用 JPasswordFieldgetPassword() 方法,该方法返回一个 char[] 和不推荐使用的getTex() 方法,该方法以明文形式返回密码,由于安全原因。应遵循 Java 团队的建议, 坚持标准而不是反对它。

3)使用 String 时,总是存在在日志文件或控制台中打印纯文本的风险,但如果使用 Array,则不会打印数组的内容而是打印其内存位置。虽然不是一个真正的原因,但仍然有道理。

String strPassword =“Unknown”;  
char [] charPassword = new char [] {'U''n''k''w''o''n'};  
System.out.println(“字符密码:”+ strPassword);  
System.out.println(“字符密码:”+ charPassword);

输出

字符串密码:Unknown  
字符密码:[C @110b053

我还建议使用散列或加密的密码而不是纯文本,并在验证完成后立即从内存中清除它。

因此,在Java中,用字符数组用存储密码比字符串是更好的选择。

虽然仅使用char[]还不够,还你需要擦除内容才能更安全。


-END-


1.  SpringBoot @Value 解析集合配置

2.  两难!到底用Apache BeanUtils还是Spring BeanUtils?

3.  Spring的Controller是单例还是多例?怎么保证并发的安全


之前博主分享了很多资源,有的已经删除了(你懂得),如果有的你当时没有领到还想领得就可以加我微信

回复“Nginx反向”获取nginx反向代理学习视频



点赞是最大的支持 




浏览 22
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报