可能存在重复:
为什么比起 String,char[] 更适合用于存储密码?
我曾经看到过一个观点,认为将敏感的密码等秘钥存储为 char[] 而非 String 更安全,因为后者可能会留存在内存中。这个观点似乎有点道理,也由于 JPasswordField 的 getText() 方法已被弃用。
这是真的吗?
1个回答
14
一旦您在
在http://docs.oracle.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html上有一个有趣的注释。
我们从用户那里提示一个密码,然后生成加密密钥。 收集和存储密码的类型为java.lang.String的对象似乎是合理的。但是,需要注意的是:String类型的对象是不可变的,即没有定义允许您在使用后更改(覆盖)或清零字符串内容的方法,这使得String对象不适合存储安全敏感信息,例如用户密码。您应始终使用char数组来收集和存储安全敏感信息。因此,javax.crypto.spec.PBEKeySpec类将(并返回)密码作为char数组。
char[]中使用密码后,可以随时用0或随机值覆盖它。但是,您不能使用String对象进行覆盖,因为Java中的字符串是不可变对象,直到垃圾回收器启动并清除它们之前,它们一直存在。在http://docs.oracle.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html上有一个有趣的注释。
我们从用户那里提示一个密码,然后生成加密密钥。 收集和存储密码的类型为java.lang.String的对象似乎是合理的。但是,需要注意的是:String类型的对象是不可变的,即没有定义允许您在使用后更改(覆盖)或清零字符串内容的方法,这使得String对象不适合存储安全敏感信息,例如用户密码。您应始终使用char数组来收集和存储安全敏感信息。因此,javax.crypto.spec.PBEKeySpec类将(并返回)密码作为char数组。
- Susam Pal
1
谢谢,你讲解得非常好! - LanguagesNamedAfterCofee
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 7 Java:将char转换为string
- 7 使用const char[]还是const std::string?
- 3 “a string with a char: ” + 'c' 比 “a string with a char: ” + "c" 更好还是更差?
- 3 将c_str()存储为char *
- 13 String.Replace(char, char) 还是 Replace(string, string)?
- 5 Java:URL还是String?
- 3 Java - Public String(char[] value)
- 34 哪个更合理 - char * string 还是 char* string?
- 6 Java敏感数据:char[]还是String?有什么区别?
- 5 为什么OJDBC 7不将CHAR数据类型映射为Java String?
String将其内容存储为char[]。 - Radu MurzeaString和char[]看起来是一样的。因为它们基本上是相同的。对于黑客来说,这不会有太大的区别。至于更改char[]内容与垃圾回收String的立即变化:是的,你是正确的。 - Radu Murzea