http://www.importnew.com/6430.html
字符數組和字符串都可以用於存儲文本數據,但是在選擇具體哪一種時,如果你沒有針對具體的情況是很難回答這個問題的。但是如果說任何與字符串相關的問題一定可以從字符串的屬性裏面的線索中找到,比如不可變性。
這裏我們就來探討一些關於爲什麼你應該使用char[] 來存儲密碼而不是字符串。
1. 因爲字符串是不可變對象,如果作爲普通文本存儲密碼,那麼它會一直存在內存中直至被垃圾收集器回收。因爲字符串從字符串池中取出的(如果池中有該字符串就直接從池中獲取,否則new 一個出來,然後把它放入池中),這樣有很大的機會長期保留在內存中,這樣會引發安全問題。因爲任何可以訪問內存的人能以明碼的方式把密碼dump出來。另外你還應該始終以加密而不是普通的文本來表示密碼。因爲字符串是不可變,因此沒有任何方法可以改變其內容,任何改變都將產生一個新的字符串,而如果使用char[],你就可以設置所有的元素爲空或者爲零(這裏作者的意思是說,讓認證完後該數組不再使用了,就可以用零或者null覆蓋原來的密碼,防止別人從內存中dump出來)。所以存儲密碼用字符數組可以明顯的減輕密碼被盜的危險。
2. Java官方本身也推薦字符數組,JpasswordField的方法getPassword()就是返回一個字符數組,而由於安全原因getText()方法是被廢棄掉的,因爲它返回一個純文本字符串。跟隨Java 團隊的步伐吧,沒有錯。
3. 字符串以普通文本打印在在log文件或控制檯中也易引起危險,但是如果使用數組你不能打印數組的內容,而是它的內存地址。儘管這不是它的真正原因,但仍值得注意。
String strPassword="Unknown";
char[] charPassword= new char[]{'U','n','k','w','o','n'};
System.out.println("String password: " + strPassword);
System.out.println("Character password: " + charPassword);
String password: Unknown
Character password: [C@110b053