最近写几篇基础的blog,混点人气.
使用swing的人都知道 password field 的getPassword()方法,返回的是char[],而不是String.
如果使用PKI的话
FileInputStream in=new FileInputStream(name);
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,pass.toCharArray());
也不用String.
String 是不可变的,这点毋庸置疑,但是String会在jvm上存储,如果在GC之前,读取jvm的内存可能读到这个数据。
如果使用 Char array,可以马上重写这块内存,即使没有发生GC,攻击者也无法获取数据。
java 为什么使用char array存储密码
原文:http://blog.chinaunix.net/uid-192452-id-5026748.html
