在Java 中, 使用字符数组保存密码 比使用String保存密码更好.
两点理由 :
- 很难从内存中清除.
String 属于不可变对象, 他会被放到串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间.
这时任何能够访问内存的人, 都可以很容易看到明文密码
当然, 根本就不应该使用明文密码 - Java 提供 JPasswordField组件的getPassword()方法
这是特意为密码准备的, 不用吗? 不要偷懒 - 在你不知道的时刻, 可能被泄露到其他地方
比如日志中. 2018年5月 twitter 数亿用户明文密码泄露(参见这里: 3.3亿用户密码疑泄露,Twitter出现重大安全漏洞 ), 就是一个例子