在创建帐户时,如何将密码存储在内存中？

我们的基于Web的应用程序使用帐户创建期间指定的密码将用户帐户绑定到用户.对于Java,在将哈希值保存在数据库中之前,如何安全地处理密码.

更具体地说,如何确保持有密码的字符串在足够短的时间间隔内被垃圾收集？

如果您有可能(在Web应用程序中可能很难),最好将密码存储在字符数组中,而不是将它们存储在字符串中.如果您已完成存储密码,则可以使用Array.fill()在内存中覆盖它,并通过丢弃它来为垃圾收集器提供引用:

Arrays.fill(password, ' ');
password = null;

我只是注意到取消密码会有点偏执,但如果它让你放心,你可以做:)

您不使用String.使用char []然后在完成时覆盖char [].

在垃圾收集方面绝对没有保证(除了终结器将在收集对象之前运行).GC可能永远不会运行,如果它运行它可能永远不会GC具有密码的字符串.