在Swing中,密码字段具有getPassword()(返回char[])方法而不是通常getText()(返回String)方法.同样,我遇到了一个不使用String来处理密码的建议.
为什么String在密码方面会对安全构成威胁?使用感觉不方便char[].
处理敏感数据(==密码)的常见Java安全准则建议永远不要使用String对象来存储数据,而是使用字节或字符数组.我试图在HttpServlet处理程序中应用此指南.特别是,我使用类似于基本身份验证的方法,其中凭据在标头中传入(这是一个GET请求,因此没有正文).
我遇到的问题是,在没有生成String对象的情况下,似乎无法获取头数据,这违反了get-go的准则.我已经彻底搜索了一个解决方案,但没有找到任何相关的讨论.有没有人对此问题有任何见解?
注意:这是通过HTTPS进行的,因此这里没有连接安全问题.