那些遇到过的问题

为什么Spring Security不提供密码的字符数组参数

bar*_*405 5 java spring spring-security

如果在Java中处理敏感数据的最佳实践是使用字符数组,那么为什么Spring Security中的大多数方法都使用String或CharSequence?例如,加密器上的方法采用CharSequence。实际上,查看这些方法的源代码,它们实际上最终将CharSequence转换为String。由于从事该项目的人们比以往任何时候都拥有更多的一生的经验,所以我觉得我一定会错过一些东西。是否有人对如何将敏感数据传递给这些方法有任何见解?

Kyl*_*son 6

您真的不能做很多事情来减少Servlet容器中密码的寿命,因为HttpServletRequest以字符串形式返回HTTP参数。因此,Spring Security可以采取世界上所有的措施来缩短密码的生存期,但不会有所作为,因为String已经存在。

-Rob Winch(弹簧安全)

资源

归档时间:

查看次数:

465 次

最近记录:

8 年,4 月 前
相关归档
你什么时候使用Builder模式? 512
您更喜欢Java ORM,为什么? 252
在Java中复制对象 71
使用tomcat-7.0.42指定了未知版本的Tomcat 63
我可以在Spring MVC中的ModelAndView中返回两个模型 11
Spring autowire接口 9
检索Spring Security的身份验证,即使在filter ="none"的公共页面上也是如此 8
Spring Boot 无法读取 Docker 中的 application.properties 8
Spring 安全授权机构总是返回空 5
未调用Spring Security过滤器 5
难疑归档
如何测试私有函数或具有私有方法,字段或内部类的类? 2593
如何禁用textarea的resizable属性? 2541
'using'指令应该在命名空间的内部还是外部? 1975
如果目录尚不存在,如何mkdir? 1784
npm install的--save选项是什么? 1779
删除包含特定字符串的文本文件中的行 1670
检索HTML元素的位置(X,Y) 1418
如何在SQL中使用JOIN执行UPDATE语句? 1262
Vim最有效的捷径是什么? 1127
参考 - 这个错误在PHP中意味着什么? 1071