JAVA面试题分享一百四十一:为什么你应该使用char[]存储密码而不是String?

最新推荐文章于 2024-06-13 08:37:22 发布
最新推荐文章于 2024-06-13 08:37:22 发布
阅读量384 收藏 11
点赞数 8
分类专栏: JAVA 面试题分享 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45038038/article/details/134699760
版权

字符串:

1)由于字符串在 Java 中是不可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它,并且为了可重用性,会存在 String 在字符串池中, 它很可能会保留在内存中持续很长时间,从而构成安全威胁。

由于任何有权访问内存转储的人都可以以明文形式找到密码,这是另一个原因,你应该始终使用加密密码而不是纯文本。

由于字符串是不可变的,所以不能更改字符串的内容,因为任何更改都会产生新的字符串,而如果你使用char[],你就可以将所有元素设置为空白或零。

因此,在字符数组中存储密码可以明显降低窃取密码的安全风险。

2)Java 本身建议使用 JPasswordField 的 getPassword() 方法,该方法返回一个 char[] 和不推荐使用的getTex() 方法,该方法以明文形式返回密码,由于安全原因。应遵循 Java 团队的建议, 坚持标准而不是反对它。

3)使用 String 时,总是存在在日志文件或控制台中打印纯文本的风险,但如果使用 Array,则不会打印数组的内容而是打印其内存位置。虽然不是一个真正的原因,但仍然有道理。

String strPassword =“Unknown”;
char [] charPassword = new char [] {'U','n','k','w','o','n'};
System.out.println(“字符密码:”+ strPassword);
System.out.println(“字符密码:”+ charPassword);

输出

字符串密码:Unknown
字符密码:[C @110b053

我还建议使用散列或加密的密码而不是纯文本,并在验证完成后立即从内存中清除它。

因此,在Java中,用字符数组用存储密码比字符串是更好的选择。

虽然仅使用char[]还不够,还你需要擦除内容才能更安全。

之乎者也·
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
蚂蚁金服社招java笔试题目-coding-interview-study-guide:此存储库包含我为准备编码面试而收集的笔记
06-17
蚂蚁金服社招java笔试题目编码面试学习指南 该存储库包含我为准备编码面试而收集的笔记。 这些笔记基于流行的书籍:和。 第 1 章:数组和字符串 笔记哈希表:一种将键映射到值以实现高效查找的数据结构。 ArrayLists 和可调整大小的数组 字符串生成器 补充主题: 枚举与迭代器 收藏界面 面试问题: 面试问题1.1 是唯一的 Approach 1: Brute Force Run 2 loops with variables i and j. Compare string at i and j. If they become equal at any point, return false. for (int i=0; i < str.length() - 1; i++) for ( int j=i+1; j<str.length(); j++) if(str[i] == str[j]) return false; TC: O(n’2), SC: O(1) Approach 2: Sorting Convert the string to char array for sortin
2022年JAVA面试题华为IBM.doc
11-11
JAVA 面试题华为IBM.doc Java 基础知识 1. Java 有八种基本数据类型,分别是 byte、short、int、long、float、double、char、boolean。String 不是基本数据类型,而是一种对象类型。 2. 字符串操作:可以使用 Java...
Java在字符串上使用char []数组来处理Java中的密码
山河已无恙
08-19 1448
使用char []数组而不是String,我们可以在完成预期的工作后显式擦除数据。这样,即使在垃圾回收发生之前,我们也将确保从内存中删除密码
java面试题(为什么存储密码时选择char数组会比字符串更好、SQL的引擎有哪些,区别是什么、Redis的数据类型有哪些、适用场景是什么)
zhiaidaidai的博客
12-07 327
以下回答背熟之后大概用时1min。第一,由于字符串在java中是不可变的。他可能保留在内存中很长一段时间指导垃圾回收器清除它。所以任何有权访问内存存储的人都可以以明文的形式找到密码。第二,java团队本身建议使用JPasswordField的getPassword方法,该方法以明文的形式返回一个char数组。出于遵守规范标准的原因,我们也应该优先选择char数组。第三,在日志文件或者控制台中打印String会直接打印纯文本。但是如果使用char数组,就会打印其存储位置。
Java笔记_7(字符串)
weixin_74155781的博客
03-29 433
Java_7笔记(字符串)
Java中字符串 I
weixin_33725807的博客
09-25 347
什么是 Java 中的字符串 在程序开发中字符串无处不在,如用户登陆时输入的用户名、密码使用的就是字符串。其实,在前面的章节中我们就已经使用了字符串,例如我们在控制台中输出的 "Hello World" 、 "imooc" 、"爱慕课"等。 在 Java 中,字符串被作为 String 类型的对象处理。String 类位于 java.la...
Java中的密码优先使用 char[] 而不是String
Forward__的博客
10-26 2673
由于StringJava中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码,这也是为什么你应该总是使用加密的形式而不是明文来保存密码。由于字符串是不可变的,所以
为什么存储密码字符数组比字符串更合适?
晚晴小筑
04-25 2189
记得这是 《java核心技术》这本书中的一句话,当时读到时也是各种疑惑。 String 的存在在很大程度上就是取代字符数组char[] ,为何又推荐密码使用字符数组保存? 我们知道,字符数组和字符串都可以用于存储文本数据。 任何与字符串相关的问题一定可以从字符串的属性里面找到线索,比如不可变性。 对于String password1 = "1q2w3e";,String实例(本...
为什么char数组比Java中的String更合适存储密码
weixin_57452805的博客
09-02 633
为什么char数组比Java中的String更合适存储密码密码使用最保险最稳妥的做法就是从前台消灭掉明文密码 首先,char[] 与 String 都可用来存储密码,但为什么char[] 比 String 更适合存储密码呢? 关于明文泄露的数据 ​ String 是常量(即创建之后就无法更改),会保存到常量池中,对于这种情况一旦拥有能够访问dump(转储)权限的人就可以通过明文的方式(如果有其他进程可以dump这个进程的内存,那么密码就会随着常量池被dump(转储)出去,从而泄露密码)获取到相应的数据
java--String类操作:注册系统:验证输入的用户名、密码、确认密码是否合法
热门推荐
有点儿文绉绉的小赖的博客
05-21 1万+
import java.util.Scanner; /** * 注册系统:验证输入的用户名、密码、确认密码是否合法 * @author Administrator * */ public class Register1_Re { /** * 验证用户名和密码 * @param username 传进来的用户名 * @param pwd 传进来的密码 * @retur...
文思海辉java程序员面试题.pdf,这是一份不错的文件
06-09
Java 程序员面试题指南 本资源为 Java 程序员面试题的PDF 文件,涵盖了多个领域的知识点,包括字符串操作、数据库查询和Web 开发。下面是对该资源的详细解读。 1. 字符串反转输出 在这个问题中,面试官要求实现...
2023编程精选题库:Java面试题集及参考答案.docx
01-29
"Java 面试题集及参考答案" 本文旨在详细介绍 Java 面试题集及参考答案,涵盖了 Java 面试的多个方面,包括面向对象的三个特征、多态、抽象类和接口的区别、构造器、访问修饰符、静态变量和实例变量的区别、不可变...
java 面试必考面试题
03-27
通过本文的解释,我们可以看出 Java 面试题的广度和深度,涵盖了 Java 的基础知识、逻辑运算符、 SWITCH 语句、变量赋值等多方面的知识点。只有掌握了这些基础知识,才能更好地应对 Java 面试的挑战。
JAVA经典面试题附答案
06-16
JAVA经典面试题附答案 JAVA基础知识点: 1. JAVA中的基本类型: JAVA中的基本类型有八种:byte、short、int、long、float、double、char、boolean。每种类型占用的字节数分别为:1、2、4、8、4、8、2、1。 2. ...
简单的项目部署脚本(转载)
u010230019的博客
06-09 652
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1459
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 464
修改菜品——后端Java
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
lx_nhs的博客
06-12 445
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
Spring Boot集成antlr实现词法和语法分析
最新发布
HBLOG
06-13 810
Antlr4 是一款强大的语法生成器工具,可用于读取、处理、执行和翻译结构化的文本或二进制文件。基本上是当前 Java 语言使用最为广泛的语法生成器工具。Twitter搜索使用ANTLR进行语法分析,每天处理超过20亿次查询;Hadoop生态系统中的Hive、Pig、数据仓库和分析系统所使用语言都用到了ANTLR;Lex Machina将ANTLR用于分析法律文本;Oracle公司在SQL开发者IDE和迁移工具中使用了ANTLR;NetBeans公司的IDE使用ANTLR来解析C++;
Java面试题:你在项目中遇什么困难如何解决? 请详细回答
04-05
在我的项目经验中,我遇到了几个困难,以下是我在这些情况下所采取的解决方案: 1. 技术难点:在一个项目中,我们需要实现一个复杂的算法来处理大量的数据,但我们的团队缺乏相关的技术知识。为了解决这个困难,我们进行了以下步骤: - 进行专业学习:我们找到了一些相关的教材和课程,并进行了深入的学习,以便更好地理解这个算法。 - 寻求帮助:我们向一些专业的技术论坛和社区寻求帮助,向其他开发者请教他们的意见和建议,以弥补我们缺乏的知识。 - 尝试和错误:我们进行了多次的试验和测试,不断尝试各种方法,直到最终找到了一个可以解决问题的方法。 2. 时间压力:在一个项目中,我们面临着严格的时间限制,需要在短时间内完成大量的任务。为了应对这个困难,我们采取了以下措施: - 制定计划:我们制定了详细的计划,列出了每个任务的时间表和优先级,以确保我们可以在时间限制内完成所有任务。 - 分配任务:我们根据每个人的技能和能力,合理地分配任务,以确保每个人都可以充分发挥自己的优势,并在最短时间内完成任务。 - 加班:我们在必要时加班,以确保我们可以按时完成任务。 3. 沟通困难:在一个项目中,我们的团队成员来自不同的地方,有时候会有语言和文化差异,导致沟通困难。为了解决这个困难,我们采取了以下步骤: - 建立良好的沟通渠道:我们使用各种工具和平台建立了良好的沟通渠道,如在线聊天、视频会议、电子邮件等,以确保我们可以及时有效地进行沟通。 - 确定沟通方式:我们确定了最佳的沟通方式,根据不同的情况选择合适的沟通方式,以确保我们的信息能够传递到每个人。 - 尊重文化差异:我们尊重每个人的文化差异,学习和理解彼此的文化背景,以更好地理解和沟通。 总之,遇到问题时,我会采取积极的态度和有效的方法来解决它们,以确保项目能够顺利进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

之乎者也·

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值