在 Java 中存储密码的最佳方法是什么

最新推荐文章于 2023-04-16 22:27:28 发布
最新推荐文章于 2023-04-16 22:27:28 发布
阅读量1.2k 收藏 1
点赞数
文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/127873918
版权

在本文中,我们将解释为什么我们应该使用 char[] 数组来表示密码,而不是 Java 中的字符串。

请注意,本教程重点介绍在内存中操作密码的方法,而不是存储密码的实际方法,后者通常在持久层中处理。

我们还假设我们无法控制密码的格式(例如,密码以字符串的形式来自第三方 API)。虽然使用 java.lang.String 类型的对象来操作密码似乎很明显,但 Java 团队自己建议使用 char[] 代替。

例如,如果我们看一下javax.swing的JPasswordField,我们可以看到返回String的方法getText()自Java 2以来被弃用,取而代之的是返回char[]的getPassword()方法。

字符串是不可变的

Java 中的字符串是不可变的,这意味着我们不能使用任何高级 API 更改它们。对 String 对象的任何更改都将生成一个新的字符串,并将旧字符串保留在内存中。

因此,存储在字符串中的密码将在内存中可用,直到垃圾回收器清除它。我们无法控制它何时发生,但这个时间段可能比常规对象长得多,因为字符串保存在字符串池中以实现可重用性。

因此,有权访问内存转储的任何人都可以从内存中检索密码。

使用 char[] 数组而不是 String,我们可以在完成预期工作后显式擦除数据。这样,我们将确保甚至在进行垃圾回收之前就从内存中删除密码。

现在让我们看一下代码片段,它们演示了我们刚刚讨论的内容。

第一个字符串:

System.out.print("Original String password value: ");
System.out.println(stringPassword);
System.out.println("Original String password hashCode: "
  + Integer.toHexString(stringPassword.hashCode()));

String newString = "********";
stringPassword.replace(stringPassword, newString);

System.out.print("String password value after trying to replace it: ");
System.out.println(stringPassword);
System.out.println(
  "hashCode after trying to replace the original String: "
  + Integer.toHexString(stringPassword.hashCode()));

输出将是:

Original String password value: password
Original String password hashCode: 4889ba9b
String value after trying to replace it: password
hashCode after trying to replace the original String: 4889ba9b

现在对于字符[]:

char[] charPassword = new char[]{'p', 'a', 's', 's', 'w', 'o', 'r', 'd'};

System.out.print("Original char password value: ");
System.out.println(charPassword);
System.out.println(
  "Original char password hashCode: " 
  + Integer.toHexString(charPassword.hashCode()));

Arrays.fill(charPassword, '*');

System.out.print("Changed char password value: ");
System.out.println(charPassword);
System.out.println(
  "Changed char password hashCode: " 
  + Integer.toHexString(charPassword.hashCode()));

输出为:

Original char password value: password
Original char password hashCode: 7cc355be
Changed char password value: ********
Changed char password hashCode: 7cc355be

正如我们所看到的,在我们尝试替换原始 String 的内容后,值保持不变,hashCode() 方法在应用程序的相同执行中没有返回不同的值,这意味着原始字符串保持不变。

对于 char[] 数组,我们能够更改同一对象中的数据。

我们可能会意外打印密码

在 char[] 数组中使用密码的另一个好处是防止在控制台、显示器或其他或多或少不安全的地方意外记录密码。

让我们看看下一个代码:

String passwordString = "password";
char[] passwordArray = new char[]{'p', 'a', 's', 's', 'w', 'o', 'r', 'd'};
System.out.println("Printing String password -> " + passwordString);
System.out.println("Printing char[] password -> " + passwordArray);

使用输出:

Printing String password -> password
Printing char[] password -> [C@6e8cf4c6

我们看到内容本身在第一种情况下是打印的,而在第二种情况下,数据不是那么有用,这使得 char[] 不那么容易受到攻击。

allway2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javawebCookie对用户密码保存的例子
09-29
javawebCookie对用户密码保存的例子,当我们在购物网站浏览的时候,下次访问的时候就会出现我们访问过的记录,这个例子就是以Cookie为原理写的JavaWeb代码例子.
Ecc-Cryptography:椭圆曲线密码学在Java的实现
05-30
总结来说,ECC密码学是现代密码学的重要分支,Java提供了完善的API支持其在各种应用场景的实施。`Ecc-Cryptography-master`项目可能是学习和理解ECC在Java实现的一个良好起点,通过阅读源码和运行测试,可以深入...
Java 使用 char[] Array 还是 String 存储字符串密码
HONEY MOOSE
06-20 485
在本文章,我们主要用来说明为什么应该使用 char[] 数组来存储密码,而不是使用 String存储密码。需要注意的是,为了密码的安全,我们通常都会将用户输入的密码 MD5 加密哈希后进行存储。我们通常是不会在后台存储明文的用户密码的,这篇文章主要目的就是为了说明字符串在 Java 存储方式和在存储的实现,就算你应该使用 数组来存储,你也不应该在程序使用明文。同时,本文章还假设你没有办法对 String 字符串进行控制。例如你获得密码是从某些第三方工具上面获得的,或者第三方 API 传递过来
java 本地保存用户名和密码_记住账号密码(本地存储
weixin_35652867的博客
02-16 1534
1.activity_main.xmlxmlns:tools="http://schemas.android.com/tools"android:layout_width="match_parent"android:layout_height="match_parent"tools:context=".MainActivity">android:id="@+id/iv"android:lay...
Java---记录用户名和密码,保存至隐藏文件
冰度特使的专栏
05-23 2579
package com.lw; import java.awt.EventQueue; import java.awt.GridLayout; import java.awt.event.ActionEvent; import java.awt.event.ActionListener; import java.io.File; import java.io.FileNotFoundExcept
使用shiro对数据库密码进行加密存储java+springboot+shiro)
最新发布
jakelihua
04-16 2007
shiro加盐,加密,数据库加密存储
password-validator:具有Java Micro Service的存储库,用于密码验证
04-08
带有Micro Service Java + Spring Boot的存储库,用于密码验证。 如何使用? 只需下载代码(通过结帐或通过从存储库下载.zip文件) 最好通过等于或高于2019.1.4 x64的IntelliJ IDE版本导入下载的项目(如果下载了....
Java传入用户名和密码并自动提交表单实现登录到其他系统的实例代码
08-31
Java编程,实现自动登录到其他系统通常涉及到网络请求和网页表单的提交。这个实例代码展示了一种方法,通过模拟HTTP POST请求来传递用户名和密码,从而达到自动登录的目的。这里我们将详细讨论涉及的关键知识点...
javajavamail发送带附件的邮件实现方法
09-03
JavaMail 是一个强大的开源库,它为 Java 开发者提供了处理电子邮件的相关功能,包括发送、接收邮件以及管理邮件附件。...同时,为了保护用户的隐私,你应该始终遵循最佳实践,比如加密敏感信息,不要明文存储密码等。
password-manager:Java 密码管理器
06-30
6. **安全实践**:开发过程应遵循最佳安全实践,比如不存储明文密码,使用哈希和盐值来保护密码,以及定期更新加密算法以抵御新的攻击手段。 7. **版本控制**:在项目文件名为`password-manager-master`的压缩包...
Java实现MD5加密解密类
08-27 1396
MD5  加密解密类: package com.xl.test.md5; import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom
java数据库密码存储_java – 如何在数据库存储密码
weixin_31600305的博客
02-25 828
我在我的Web应用程序使用jsp和servlet.我需要在数据库存储密码.我发现哈希将是最好的方法.我用这个代码来做.String user = request.getParameter("Username");String pass = request.getParameter("Password1");String name = request.getParameter("Name");S...
java实现记住密码功能
dxyzhbb的博客
07-23 803
login.jsp <%@ page language=“java” contentType=“text/html; charset=UTF-8” 2 pageEncoding=“UTF-8”%> 3 4 5 6 7 Insert title here 8 9 <% 10 String username = “”; 11 String passwo...
安全密码存储–请勿做的事和Java示例
最佳 Java 编程
05-08 336
安全存储密码的重要性 作为软件开发人员,我们最重要的职责之一就是保护用户的个人信息。 没有我们应用程序的技术知识,用户别无选择,只能相信我们正在履行这一责任。 令人遗憾的是,在密码方面,软件开发社区的记录不一。 虽然不可能建立一个100%安全的系统,但幸运的是,我们可以采取一些简单的步骤来使用户的密码足够安全,以便派遣潜在的黑客来寻找更容易的猎物。 如果您不希望所有背景知...
Java基础 -> 为什么 char 数组比 Java String 更适合存储密码
rod0320的博客
02-28 593
为什么 char 数组比 Java String 更适合存储密码? 由于字符串在 Java 是不可变的,如果你将密码存储为纯文本,它将在内存可用,直到垃圾收集器清除它. 我们应该要加密一下这个密码,重新保存一个加密后的,但是字符串不可变的原因,就算改了,之前的密码依旧在内存有一段时间存活 并且为了可重用性,会存在 String 在字符串池, 它很可能会保留在内存持续很长时间,从而构成安全威胁。 String 在字符串池会获得比我们想象的更加久,这对密码来说是有安全隐患的
技术干货:常用Java密码技术
weixin_33948416的博客
01-15 543
著名的密码学者Ron Rivest曾经说过:"密码学是关于如何在敌人存在的环境通讯"。的确,从严谨的角度来讲,不管是公网环境还是在企业内网,我们设计系统的时候都需要充分考虑通讯安全。IT小皇子总结了一些常用的Java密码技术,供参考。本文含大量代码示例,建议收藏以备日后使用。单向散列函数 又称单向Hash函数、杂凑函数,就是把任意长的输入消息串变化成固定长的输出串且由输出串难以得到输入串的一种函...
Java - 为什么char数组比JavaString更适合存储密码
热门推荐
了解➔熟悉➔掌握➔精通
08-16 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍来!请点击http://www.captainbed.net 1.由于字符串在Java是不可变的,如果你将密码存储为纯文本,它将在内存可用,直到垃圾收集器清除它。并且为了可重用性,会存储在字符串池,它很可能会保留在内存持续很长时间,从而构成安全威胁。 由于任何有权访问内存转储的人都可以以明文形式找到密...
Java录入密码传入数组
xueluochangan的博客
10-12 153
package Case; import java.util.Scanner; public class NumberEncrypt2 { public static void main(String[] args) { Scanner sc = new Scanner(System.in); System.out.println("请输入您的密码长度:"); int len = sc.nextInt(); System.ou
深圳java学习:为什么Java密码优先使用 char[] 而不是String?
11-22 139
深圳java学习:为什么Java密码优先使用 char[] 而不是String? 虽然String加载密码之后可以把这个变量扔掉,但是字符串并不会马上被GC回收,一但进程在GC执行到这个字符串之前被dump,dump出的的转储就会含有这个明文的字符串。 对于char[]来说,你可以在抛弃它之前直接修改掉它里面的内容,密码就不会存在了。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值