なぜChar[]配列はJavaのStringよりも安全（機密データを保存）するのですか？

両方の文字列 およびChar[]配列 テキストデータを保存するために使用されますが、どちらかを選択するのはより困難です。たぶん、の不変性からアイデアを得ることができます 文字列 なぜchar[]配列 パスワードなどの機密情報データを保存するには、文字列よりも優先されます 、 SSN、 など

• プレーン文字列を使用すると、ログやchar[]配列があるその他の安全でない場所に誤ってパスワードを出力する可能性がはるかに高くなります。 脆弱性が少ない 。
• 文字列は不変であるため 、文字列の内容を変更または上書きできるようにするメソッドは定義されていません。この機能により、文字列オブジェクトが不安定になり、パスワードなどの安全な情報を保存できなくなります。 、 SSN、 など。安全な情報は常に文字列ではなくchar[]配列に格納する必要があります。
• パスワードをプレーンテキストとして保存すると文字列は不変であるため、ゴミまでメモリで使用できます。 コレクター それをきれいにします。文字列が使用されているのでS トリングコンスタントプール（SCP） 文字列を再利用できるようにするために、文字列が長期間メモリに残る可能性がかなりあります。メモリダンプにアクセスできる人なら誰でもプレーンテキストでパスワードを簡単に見つけることができるので、もう1つの理由は暗号化を使用する必要があります パスワード プレーンテキストより。
• JavaSwingアプリケーションで気付いた場合 、 JPasswordFieldのメソッドがあります getPassword（） char []を返します 非推奨のメソッドgetText（） パスワードをプレーンテキストで返します。したがって、Java自体がget password （）の使用を推奨しています。 メソッド。
• パスワードをchar[]配列に格納するもう1つの理由 、たとえば、char []はサニタイズできるため、使用後にクリアパスワードをジャンクでオーバーライドできますが、StringはJavaでは不変です。

例

public class SecureInfoData {
   public static void main(String args[]) {
      String pwd = "string_pass_word";
      System.out.println("String Password is: " + pwd);
      char charPwd[] = "char_pass_word".toCharArray();
      System.out.println("Character Password is: " + charPwd);
   }
}

出力

String Password is: string_pass_word
Character Password is: [C@6d06d69c