字符數(shù)組和字符串都可以用于存儲文本數(shù)據(jù)，但是在選擇具體哪一種時，如果你沒有針對具體的情況是很難回答這個問題的。但是任何與字符串相關(guān)的問題一定有線索可以在字符串的屬性里面找到，比如不可變性。他就用這種方式去說服面試官。這里我們就來探討一些關(guān)于為什么你應(yīng)該使用char[] 來存儲密碼而不是字符串。

• 因為字符串是不可變對象，如果作為普通文本存儲密碼，那么它會一直存在內(nèi)存中直至被垃圾收集器回收。因為字符串從字符串池中取出的（如果池中有該字符串就直接從池中獲取，否則new 一個出來，然后把它放入池中），這樣有很大的機會長期保留在內(nèi)存中，這樣會引發(fā)安全問題。因為任何可以訪問內(nèi)存的人能以明碼的方式把密碼dump出來。另外你還應(yīng)該始終以加密而不是普通的文本來表示密碼。因為字符串是不可變，因此沒有任何方法可以改變其內(nèi)容，任何改變都將產(chǎn)生一個新的字符串，而如果使用char[]，你就可以設(shè)置所有的元素為空或者為零（這里作者的意思是說，讓認證完后該數(shù)組不再使用了，就可以用零或者null覆蓋原來的密碼，防止別人從內(nèi)存中dump出來）。所以存儲密碼用字符數(shù)組可以明顯的減輕密碼被盜的危險。
• Java官方本身也推薦字符數(shù)組，JpasswordField的方法getPassword()就是返回一個字符數(shù)組，而由于安全原因getText()方法是被廢棄掉的，因為它返回一個純文本字符串。跟隨Java 團隊的步伐吧，沒有錯。
• 字符串以普通文本打印在在log文件或控制臺中也易引起危險，但是如果使用數(shù)組你不能打印數(shù)組的內(nèi)容，而是它的內(nèi)存地址。盡管這不是它的真正原因，但仍值得注意。

String strPassword="Unknown"; char[] charPassword= new char[]{'U','n','k','w','o','n'}; System.out.println("String password: " + strPassword); System.out.println("Character password: " + charPassword);String password: Unknown Character password: [C@110b053

以上所有就是為什么字符數(shù)組比字符串保存密碼要好的原因，盡管使用char[]還不足以安全。我同樣建議你用hash或者密碼加密代替普通文本，而且一旦認證完成盡可能快的把他清除掉。

我是天王蓋地虎的分割線 ? ? ? ? ? ? ? ? ? ?

本文轉(zhuǎn)自我愛物聯(lián)網(wǎng)博客園博客，原文鏈接：http://www.cnblogs.com/yydcdut/p/3881592.html，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的Java存储密码用字符数组的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。