安全性通过Java中的内存转储减少凭据泄漏
我们都知道Java中的密码/凭证应存储为字符数组。它的缓解,而不是保护
我总是不使用不可变对象来保存凭证,但不久或稍后,我需要将其传递给某个需要字符串的类(来自我们使用的所有第三个库)。难道所有的努力都没有了吗? 例如:如果我想设置授权标题,标题值按组织存储为字符串。阿帕奇。http。消息BasicHeader类。 另一个例子(可能不是很好):我使用一个处理密码(存储密码或其他东西)的服务。它要求他们在POST请求中作为主体。我创建了HttpPost,并将StringEntity添加为body。它已经存储为字符串,可以再次转储
您是否设法使您的凭据相对安全,不受内存转储的影响
谢谢
# 1 楼答案
在联系了该领域的一些安全专家后,我得到了以下答案: