为什么Java中的密码优先使用 char[] 而不是String?

最新推荐文章于 2024-09-30 10:36:33 发布
最新推荐文章于 2024-09-30 10:36:33 发布
阅读量154 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/luojiabao/p/11049933.html
版权

可以看下壁虎的回答:https://www.zhihu.com/question/36734157

String是常量(即创建之后就无法更改),会保存到常量池中,如果有其他进程可以dump这个进程的内存,那么密码就会随着常量池被dump出去从而泄露,而char[]可以写入其他的信息从而改变,即是被dump了也会减少泄露密码的风险。

转载于:https://www.cnblogs.com/luojiabao/p/11049933.html

weixin_33704591
关注
高薪程序员&面试题精讲系列07之说说String为什么不可变及String底层原理?
一一哥
10-09 928
一. 面试题及剖析 1. 今日面试题 String类是我们开发时很常用的知识点,所以它也是我们面试时的一个高频提问点,既有关于String用法的面试题,也有关于String底层原理类的面试题。今天 壹哥 就带大家结合源码,来探究String的底层原理,从而可以回答如下面试题。 你有没有看过Sting的源码? String字符串为什么不可被改变? String的底层原理是什么? ...... 2. 题目剖析 以上几道面试题,我们仔细分析一下,就会发现考察的其实都是String的底层原理,这
【2024华为OD机试C卷】387、密码输入检测 | 机试真题+思路参考+代码解析(C语言、C++、Java、Py、JS) (最新抽C卷)(本题100%)
KJ.JK
11-30 1628
题目描述 >给定用户密码输入流input,输入流字符'
Java密码优先使用 char[] 而不是String
chenxin0703的博客
09-07 727
Java密码优先使用 char[] 而不是String 对于String。虽然String加载密码之后可以把这个变量扔掉,但是字符串并不会马上被GC回收,一但进程在GC执行到这个字符串之前被dump,dump出的的转储就会含有这个明文的字符串。String本身是不可修改的,任何基于String的修改函数都是返回一个新的字符串,原有的还会在内存里。 对于char[]来说,你可以在抛弃它之前直接修
代码不让使用String 类型存储密码,如何解决
一天不写代码难受的博客
08-10 260
请注意,尽管将 String 对象设置为 null 可以帮助垃圾回收器回收对象,但这并不能立即从内存清除密码。在JavaString 对象是不可变的,这意味着一旦创建,它们将保留在内存,直到垃圾回收器回收它们。完成后,我们将 passwordString 设置为 null,以便垃圾回收器可以回收该对象。如果在使用密码进行操作时,需要将密码作为 String 类型传递给某些方法或库,可以使用 String 类型的密码进行操作,但在使用完毕后尽快将其设置为 null,以便垃圾回收器可以回收该对象。
shiro-密码比较的设计 CredentialsMatcher -为什么Java密码优先使用 char[] 而不是String
汪小哥
12-23 1万+
密码比较 昨天的时候,笔者仔细的追踪了,整个获取信息的主要的设计,通过用户的唯一标识得到 AuthenticationInfo 然后和 AuthenticationToken (用户名 密码),进行比较! 有一个专门的设计类,用来处理密码匹配的比较的。而且很复杂~AuthenticatingRealm有一个成员变量 private CredentialsMatcher credenti
JavaString类(字符串操作)的10个常见问题和解决方法
09-04
综上,JavaString类提供了丰富的方法来处理字符串,但正确使用这些方法需要对Java内存模型、不可变对象和多线程安全等方面有深刻理解。这十个问题和解决方法,可以帮助开发者高效且正确地在Java进行字符串操作...
BFS算法(广度优先搜索)java
木竹的博客
12-15 3799
BFS介绍 BFS:宽度优先搜索算法(又称广度优先搜索)是最简便的图的搜索算法之一,属于一种盲目搜寻法,目的是系统地展开并检查图的所有节点,以找寻结果。它并不考虑结果的可能位置,彻底地搜索整张图,直到找到结果为止。 BFS 的核心思想就是把一些问题抽象成图,从一个点开始,向四周开始扩散。一般来说,我们写 BFS 算法都是用「队列」这种数据结构,每次将一个节点周围的所有节点加入队列。 BFS 出现的常见场景,问题的本质就是让你在一幅「图」找到从起点start到终点target的最近距离。 嘛意思呢,假设你
为什么 char 数组比 String 更适合存储密码
勇往直前的专栏
08-06 1107
另一个基于String的棘手 Java 问题,相信我只有很少的 Java 程序员可以正确回答这个问题。 这是一个真正艰难的核心 Java 面试问题,并且需要对String的扎实知识才能回答这个问题。 这是最近在Java 面试向我的一位朋友询问的问题。 他正在接受技术主管职位的面试,并且有超过6年的经验。如果你还没有遇到过这种情况,那么字符数组和字符串可以用来存储文本数据,但是选择一个而不是另一个很难。 但正如我的朋友所说,任何与String相关的问题都必须对字符串的特殊属性有一些线索...
修改密码功能在后端遇到的问题
qq_42207453的博客
12-13 1302
修改密码功能 最开始时代码: UserService: public void updatePassword(String username,String oldPass,String newPass) { //1.查出用户 User user = getByUserName(username); //2.判断原密码是否正确 if ...
Java基础 -> 为什么 char 数组比 Java String 更适合存储密码
rod0320的博客
02-28 599
为什么 char 数组比 Java String 更适合存储密码? 由于字符串在 Java 是不可变的,如果你将密码存储为纯文本,它将在内存可用,直到垃圾收集器清除它. 我们应该要加密一下这个密码,重新保存一个加密后的,但是字符串不可变的原因,就算改了,之前的密码依旧在内存有一段时间存活 并且为了可重用性,会存在 String 在字符串池, 它很可能会保留在内存持续很长时间,从而构成安全威胁。 String 在字符串池会获得比我们想象的更加久,这对密码来说是有安全隐患的
尽量不要使用 String 来存储密码等敏感信息
赞哈哈的博客
05-19 2442
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。 从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程无意的将密码打印
Java - 为什么char数组比JavaString更适合存储密码
热门推荐
了解➔熟悉➔掌握➔精通
08-16 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍来!请点击http://www.captainbed.net 1.由于字符串在Java是不可变的,如果你将密码存储为纯文本,它将在内存可用,直到垃圾收集器清除它。并且为了可重用性,会存储在字符串池,它很可能会保留在内存持续很长时间,从而构成安全威胁。 由于任何有权访问内存转储的人都可以以明文形式找到密...
java将word转pdf
紫月7575的博客
09-30 479
java将word转pdf
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
最新发布
Lxn2zh的博客
09-30 675
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk提供的最原始的那个。要开启OkHttp ,还需要在YML 添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Javabyte与charString之间的转换原理及示例
Java的`byte`、`char`和`String`类型在数据处理和转换扮演着重要角色,特别是在处理多字节字符集(如UTF-8、GBK等)时。本文主要探讨了如何在Java实现`byte`与`char`以及`byte`与`String`之间的互转,以及背后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值