在Swing中,密码字段具有getPassword()(返回char[])方法而不是通常getText()(返回String)方法.同样,我遇到了一个不使用String来处理密码的建议.
为什么String在密码方面会对安全构成威胁?使用感觉不方便char[].
我正在开发一个内部验证用户身份的小型Web应用程序.一旦用户通过身份验证,我的Web应用程序就会将一些信息(如userID和Person的名称)传递给第三方Web应用程序.第三方开发人员建议我们对值进行散列和加盐.
原谅我的无知,但究竟是什么意思呢?
我正在用Java编写应用程序.所以我打算做的是将userID,Person的名称和一些Math.random()值作为Apache Commons Digest Utils SHA512的哈希值并将该哈希字符串与userID和person的名称一起传递.
这是标准做法吗?我应该通过第三方盐也是正确的?