為什麼 char 數組比 String 更適合存儲密碼?
- 2020 年 9 月 9 日
- 筆記
推薦閱讀:5 個刁鑽的 String 面試題!
另一個基於 String 的棘手 Java 問題,相信我只有很少的 Java 程式設計師可以正確回答這個問題。
這是一個真正艱難的核心 Java 面試問題,並且需要對 String 的紮實知識才能回答這個問題。
這是最近在 Java 面試中向我的一位朋友詢問的問題。
他正在接受技術主管職位的面試,並且有超過6年的經驗。如果你還沒有遇到過這種情況,那麼字元數組和字元串可以用來存儲文本數據,但是選擇一個而不是另一個很難。
但正如我的朋友所說,任何與 String 相關的問題都必須對字元串的特殊屬性有一些線索,比如不變性,他用它來說服訪提問的人。在這裡,我們將探討為什麼你應該使用char[]存儲密碼而不是String的一些原因。
字元串:
1)由於字元串在 Java 中是不可變的,如果你將密碼存儲為純文本,它將在記憶體中可用,直到垃圾收集器清除它,並且為了可重用性,會存在 String 在字元串池中, 它很可能會保留在記憶體中持續很長時間,從而構成安全威脅。
由於任何有權訪問記憶體轉儲的人都可以以明文形式找到密碼,這是另一個原因,你應該始終使用加密密碼而不是純文本。
由於字元串是不可變的,所以不能更改字元串的內容,因為任何更改都會產生新的字元串,而如果你使用char[],你就可以將所有元素設置為空白或零。
因此,在字元數組中存儲密碼可以明顯降低竊取密碼的安全風險。
2)Java 本身建議使用 JPasswordField 的 getPassword() 方法,該方法返回一個 char[] 和不推薦使用的getTex() 方法,該方法以明文形式返回密碼,由於安全原因。應遵循 Java 團隊的建議, 堅持標準而不是反對它。
3)使用 String 時,總是存在在日誌文件或控制台中列印純文本的風險,但如果使用 Array,則不會列印數組的內容而是列印其記憶體位置。雖然不是一個真正的原因,但仍然有道理。
String strPassword =「Unknown」;
char [] charPassword = new char [] {'U','n','k','w','o','n'};
System.out.println(「字元密碼:」+ strPassword);
System.out.println(「字元密碼:」+ charPassword);
輸出
字元串密碼:Unknown
字元密碼:[C @110b053
我還建議使用散列或加密的密碼而不是純文本,並在驗證完成後立即從記憶體中清除它。
因此,在Java中,用字元數組用存儲密碼比字元串是更好的選擇。
雖然僅使用char[]還不夠,還你需要擦除內容才能更安全。
版本申明:本作品系作者 Yujiaao 原創,採用《署名-非商業性使用-禁止演繹 4.0 國際》許可協議,來源:segmentfault.com/a/1190000019962661
推薦去我的部落格閱讀更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
覺得不錯,別忘了點贊+轉發哦!
