我正在寻找Java等效于.NET的SecureString.aspx。 2018年有这样的实施方案吗?
OWASP implementation并不完全相同,因为它只是一个纯字符数组。 .NET等效项提供了additional features,例如从非托管内存中获取实例的能力以及加密功能。
我知道常见的Java模式,它会以char[]的形式传递密码,并在使用后用零对Arrays.fill()进行编码。但这需要始终围绕char[]构建一个琐碎的实用程序类。
参考方案
Oracle具有GuardedString实现。它与.NET的SecureString解决方案最接近。
解决与以下问题相关的安全字符串实现
将密码保留为java.lang.String。也就是说,任何代表
因为字符串以明文密码形式保存在内存中并保留在
内存,直到被垃圾回收为止。
GuardedString类通过存储以下内容来缓解此问题:
加密形式的内存中的字符。加密密钥将为
随机生成的密钥。
GuardedString以其序列化形式使用
已知的默认密钥。这是为了提供最低级别的保护
不管运输。与遥控器通讯
连接器框架,建议部署为以下应用程序启用SSL
真正的加密。
应用程序也可能希望保留GuardedString。如果是
Identity Manager,应将GuardedString转换为
EncryptedData,以便可以使用
管理Identity Manager的加密功能。其他应用可能
希望将整个APIConfiguration序列化。这些应用
负责加密APIConfiguration blob
附加的安全层(除了基本的默认密钥加密之外)
由GuardedString提供)。
试图绕过Java并发问题,并且很难理解线程池,线程以及它们正在执行的可运行“任务”之间的关系。如果我创建一个有10个线程的线程池,那么我是否必须将相同的任务传递给池中的每个线程,或者池化的线程实际上只是与任务无关的“工人无人机”可用于执行任何任务?无论哪种方式,Executor / ExecutorService如何将正确的任务分配给正确的线程? 参考方案 …
JAVA:字节码和二进制有什么区别? - javajava字节代码(已编译的语言,也称为目标代码)与机器代码(当前计算机的本机代码)之间有什么区别?我读过一些书,他们将字节码称为二进制指令,但我不知道为什么。 参考方案 字节码是独立于平台的,在Windows中运行的编译器编译的字节码仍将在linux / unix / mac中运行。机器代码是特定于平台的,如果在Windows x86中编译,则它将仅在Win…
java:继承 - java有哪些替代继承的方法? java大神给出的解决方案 有效的Java:偏重于继承而不是继承。 (这实际上也来自“四人帮”)。他提出的理由是,如果扩展类未明确设计为继承,则继承会引起很多不正常的副作用。例如,对super.someMethod()的任何调用都可以引导您通过未知代码的意外路径。取而代之的是,持有对本来应该扩展的类的引用,然后委托给它。这是与Eric…
Java:BigInteger,如何通过OutputStream编写它 - java我想将BigInteger写入文件。做这个的最好方式是什么。当然,我想从输入流中读取(使用程序,而不是人工)。我必须使用ObjectOutputStream还是有更好的方法?目的是使用尽可能少的字节。谢谢马丁 参考方案 Java序列化(ObjectOutputStream / ObjectInputStream)是将对象序列化为八位字节序列的一种通用方法。但…
Java DefaultSslContextFactory密钥库动态更新 - java我有一个使用org.restlet.engine.ssl.DefaultSslContextFactory的现有应用程序和一个在服务器启动时加载的密钥库文件。我有另一个应用程序,该应用程序创建必须添加的证书服务器运行时动态地更新到密钥库文件。为此,我在代码中创建了证书和私钥,然后将其写入到目录。该目录由bash脚本监视,该脚本检查是否有新文件,如果出现,它将…