char數(shù)組為什么比String更適合存儲密碼

這篇文章主要講解了“char數(shù)組為什么比String更適合存儲密碼”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“char數(shù)組為什么比String更適合存儲密碼”吧！

字符串：

1)由于字符串在 Java 中是不可變的，如果你將密碼存儲為純文本，它將在內(nèi)存中可用，直到垃圾收集器清除它，并且為了可重用性，會存在 String 在字符串池中, 它很可能會保留在內(nèi)存中持續(xù)很長時間，從而構(gòu)成安全威脅。

由于任何有權(quán)訪問內(nèi)存轉(zhuǎn)儲的人都可以以明文形式找到密碼，這是另一個原因，你應(yīng)該始終使用加密密碼而不是純文本。

由于字符串是不可變的，所以不能更改字符串的內(nèi)容，因為任何更改都會產(chǎn)生新的字符串，而如果你使用char[]，你就可以將所有元素設(shè)置為空白或零。

因此，在字符數(shù)組中存儲密碼可以明顯降低竊取密碼的安全風(fēng)險。

2)Java 本身建議使用 JPasswordField 的 getPassword() 方法，該方法返回一個 char[] 和不推薦使用的getTex() 方法，該方法以明文形式返回密碼，由于安全原因。應(yīng)遵循 Java 團(tuán)隊的建議, 堅持標(biāo)準(zhǔn)而不是反對它。

3)使用 String 時，總是存在在日志文件或控制臺中打印純文本的風(fēng)險，但如果使用 Array，則不會打印數(shù)組的內(nèi)容而是打印其內(nèi)存位置。雖然不是一個真正的原因，但仍然有道理。

String strPassword =“Unknown”;
char [] charPassword = new char [] {'U'，'n'，'k'，'w'，'o'，'n'};
System.out.println(“字符密碼：”+ strPassword);
System.out.println(“字符密碼：”+ charPassword);

輸出

字符串密碼：Unknown 字符密碼：[C @110b053

我還建議使用散列或加密的密碼而不是純文本，并在驗證完成后立即從內(nèi)存中清除它。

因此,在Java中,用字符數(shù)組用存儲密碼比字符串是更好的選擇。

雖然僅使用char[]還不夠，還你需要擦除內(nèi)容才能更安全。

感謝各位的閱讀，以上就是“char數(shù)組為什么比String更適合存儲密碼”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對char數(shù)組為什么比String更適合存儲密碼這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關(guān)知識點的文章，歡迎關(guān)注！