草庐IT

Java中为何用char[]数组来操作密码

okokabcd 2023-03-28 原文

1. 概述

本文解释Java中为什么用char[]来表示密码而不是String。
注意本文重点在内存中操作密码的方法而不是存储密码的实际方法,存储密码我们通常放在持久层。
假设我们不能够控制密码的格式(例如密码来自于三方库API的字符串)。尽管看起来用字符串操作密码很合理,但是Java团队还是建议用char[]。

例如,javax.swing中的JPasswordField中,我们可以看到getText()自Java2以来就已被弃用,取而代之的是返回char[]的getPassword()方法。
因此,我们来深入了解一下为什么推荐用char[]来操作密码。

2. 字符串不可变

Java中字符串是不可变的,这意味着我们无法用任何高级API更改它们。对于字符串中的任何一个变更都会产生一个新的字符串,旧的字符串将还保留在内存中。
因此,存储密码的字符串一直在内存中可用直到垃圾收集器清除它。我们无法控制这个回收的过程,而且字符串生存的时间可能比常规对象要长得多,因为为了可重用字符串是保存在字符串池中的。
因为,任何有访问内存权限的人都可以从内存中查看密码。使用char[]我们可以在完成预期工作后显式擦除数据,这样即使在垃圾收集发生之前,我们也可以确保从内存中删除密码。

使用String的场景:

String stringPassword = "password";
System.out.println(String.format("Original String password value: %s", stringPassword));
System.out.println(String.format("Original String password hashCode: %s",
                                 Integer.toHexString(stringPassword.hashCode())));

String newString = "*********";
stringPassword.replace(stringPassword, newString);

System.out.println(String.format("String password value after trying to replace it: %s", stringPassword));
System.out.println(String.format("hashCode after trying to replace the original String: %s",
                                 Integer.toHexString(stringPassword.hashCode())));

输出:

Original String password value: password
Original String password hashCode: 4889ba9b
String password value after trying to replace it: password
hashCode after trying to replace the original String: 4889ba9b

使用char[]的场景:

char[] charPassword = new char[]{'p', 'a', 's', 's', 'w', 'o', 'r', 'd'};

System.out.println(String.format("Original char password value: %s", charPassword));
System.out.println(String.format("Original char password hashCode: %s",
                                 Integer.toHexString(charPassword.hashCode())));

Arrays.fill(charPassword, '*');

System.out.println(String.format("Changed char password value: %s", charPassword));
System.out.println(String.format("Changed char password hashCode: %s",
                                 Integer.toHexString(charPassword.hashCode())));

输出:

Original char password value: [C@51cdd8a
Original char password hashCode: 51cdd8a
Changed char password value: [C@51cdd8a
Changed char password hashCode: 51cdd8a

可以看到,使用String时,替换原始字符串后,值和hashCode都没有变,这意味着String保持不变。
对于char[]数组,值变了hashCode没变说明我们是更改的同一个对象数据。

3. 可以不经意间打印密码

使用char[]中操作密码的另一个好处是可以防止在控制台、监视器或其他不安全的地方记录密码。
下面是代码:

String stringPassword = "password";
char[] charPassword = new char[]{'p', 'a', 's', 's', 'w', 'o', 'r', 'd'};
System.out.println(String.format("Printing String password -> %s", stringPassword));
System.out.println(String.format("Printing char[] password -> %s", charPassword));

输出:

Printing String password -> password
Printing char[] password -> [C@51cdd8a

使用String打印了密码本身,使用char[]输出的[C@51cdd8a 这样密码就不那么容易泄露了。

4. 结论

本文探索了为什么不用字符串来操作密码而使用char[]来操作密码。

为何JavaStringpasswordchar

有关Java中为何用char[]数组来操作密码的更多相关文章

  1. ruby-on-rails - 在 Ruby 中循环遍历多个数组 - 2

    我有多个ActiveRecord子类Item的实例数组,我需要根据最早的事件循环打印。在这种情况下,我需要打印付款和维护日期,如下所示:ItemAmaintenancerequiredin5daysItemBpaymentrequiredin6daysItemApaymentrequiredin7daysItemBmaintenancerequiredin8days我目前有两个查询,用于查找maintenance和payment项目(非排他性查询),并输出如下内容:paymentrequiredin...maintenancerequiredin...有什么方法可以改善上述(丑陋的)代

  2. ruby - 多次弹出/移动 ruby​​ 数组 - 2

    我的代码目前看起来像这样numbers=[1,2,3,4,5]defpop_threepop=[]3.times{pop有没有办法在一行中完成pop_three方法中的内容?我基本上想做类似numbers.slice(0,3)的事情,但要删除切片中的数组项。嗯...嗯,我想我刚刚意识到我可以试试slice! 最佳答案 是numbers.pop(3)或者numbers.shift(3)如果你想要另一边。 关于ruby-多次弹出/移动ruby​​数组,我们在StackOverflow上找到一

  3. ruby - 将数组的内容转换为 int - 2

    我需要读入一个包含数字列表的文件。此代码读取文件并将其放入二维数组中。现在我需要获取数组中所有数字的平均值,但我需要将数组的内容更改为int。有什么想法可以将to_i方法放在哪里吗?ClassTerraindefinitializefile_name@input=IO.readlines(file_name)#readinfile@size=@input[0].to_i@land=[@size]x=1whilex 最佳答案 只需将数组映射为整数:@land边注如果你想得到一条线的平均值,你可以这样做:values=@input[x]

  4. ruby - 通过 erb 模板输出 ruby​​ 数组 - 2

    我正在使用puppet为ruby​​程序提供一组常量。我需要提供一组主机名,我的程序将对其进行迭代。在我之前使用的bash脚本中,我只是将它作为一个puppet变量hosts=>"host1,host2"我将其提供给bash脚本作为HOSTS=显然这对ruby​​不太适用——我需要它的格式hosts=["host1","host2"]自从phosts和putsmy_array.inspect提供输出["host1","host2"]我希望使用其中之一。不幸的是,我终其一生都无法弄清楚如何让它发挥作用。我尝试了以下各项:我发现某处他们指出我需要在函数调用前放置“function_”……这

  5. ruby - 检查数组是否在增加 - 2

    这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife

  6. java - 等价于 Java 中的 Ruby Hash - 2

    我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/

  7. ruby - 如果指定键的值在数组中相同,如何合并哈希 - 2

    我有一个这样的哈希数组:[{:foo=>2,:date=>Sat,01Sep2014},{:foo2=>2,:date=>Sat,02Sep2014},{:foo3=>3,:date=>Sat,01Sep2014},{:foo4=>4,:date=>Sat,03Sep2014},{:foo5=>5,:date=>Sat,02Sep2014}]如果:date相同,我想合并哈希值。我对上面数组的期望是:[{:foo=>2,:foo3=>3,:date=>Sat,01Sep2014},{:foo2=>2,:foo5=>5:date=>Sat,02Sep2014},{:foo4=>4,:dat

  8. ruby - 在 Ruby 中用键盘诅咒数组浏览 - 2

    我正在尝试在Ruby中制作一个cli应用程序,它接受一个给定的数组,然后将其显示为一个列表,我可以使用箭头键浏览它。我觉得我已经在Ruby中看到一个库已经这样做了,但我记不起它的名字了。我正在尝试对soundcloud2000中的代码进行逆向工程做类似的事情,但他的代码与SoundcloudAPI的使用紧密耦合。我知道cursesgem,我正在考虑更抽象的东西。广告有没有人见过可以做到这一点的库或一些概念证明的Ruby代码可以做到这一点? 最佳答案 我不知道这是否是您正在寻找的,但也许您可以使用我的想法。由于我没有关于您要完成的工作

  9. ruby - 如何在 Grape 中定义哈希数组? - 2

    我使用Ember作为我的前端和GrapeAPI来为我的API提供服务。前端发送类似:{"service"=>{"name"=>"Name","duration"=>"30","user"=>nil,"organization"=>"org","category"=>nil,"description"=>"description","disabled"=>true,"color"=>nil,"availabilities"=>[{"day"=>"Saturday","enabled"=>false,"timeSlots"=>[{"startAt"=>"09:00AM","endAt"=>

  10. java - 从 JRuby 调用 Java 类的问题 - 2

    我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www

随机推荐