Wenn die beste Methode für die Verarbeitung sensibler Daten in Java die Verwendung von Zeichenarrays ist, warum verwenden die meisten Methoden in Spring Security String oder CharSequence? Zum Beispiel nehmen die Methoden auf Encryptors CharSequence. In der Tat, wenn man sich den Quellcode dieser Methoden ansieht, konvertieren sie tatsächlich die CharSequence in einen String. Da die Leute in diesem Projekt mehr Lebenserfahrung in diesen Angelegenheiten haben, als ich jemals haben werde, habe ich das Gefühl, dass ich etwas verpassen muss. Hat jemand einen Einblick, wie man sensible Daten an diese Methoden weitergibt?Warum bietet Spring Security keine Zeichenarrayparameter für Kennwörter an?
2
A
Antwort
2
Man kann wirklich nicht viel tun, um das Leben des Passworts in einem Servlet-Container zu reduzieren, da die HttpServletRequest die HTTP Parameter als String zurückgibt. So könnte Spring Security alle Maßnahmen ergreifen, um die Lebensdauer des Passworts zu reduzieren, aber es würde keinen Unterschied machen, da der String bereits existieren würde.
-ROB Winch (Spring Security)
Verwandte Themen
- 1. Warum bietet java.time.LocalDateTime keine toDate() -Methode an?
- 2. Spring Security - Versand an/j_spring_security_check
- 3. Spring Security für RESTful Webservice
- 4. Spring Security-Ignorierpfad für Filter
- 5. Warum funktioniert meine Spring Security nicht?
- 6. Upgrade von Spring Security auf 3.2.0.RELEASE bietet CSRF-Token nicht mehr im Frühling an Taglib
- 7. Redirect für Abmelde Spring Security
- 8. Warum Guava bietet keine Möglichkeit, Mapkeys
- 9. Framework wie Spring Security für Java EE?
- 10. Spring Security erkennt keine mehrteilige Konfiguration
- 11. Spring Security akzeptiert keine korrekten Anmeldeinformationen
- 12. JavaMelody und Spring Security
- 13. Content-Security-Policy Spring Security
- 14. Komponententests mit Spring Security
- 15. Warum bietet JPA CriteriaQuery keine Aktualisierungsabfrage?
- 16. Spring Security Autorisierung remote
- 17. Warum bietet Haskell keine Falten für eindimensionale Arrays?
- 18. Warum bietet F # keine benutzerdefinierte Überladung für den Operator ==?
- 19. Warum bietet IntelliSense Dispose für DataTableReader nicht an?
- 20. Warum bietet IntelliJ IDEA CSS-Animationsnamen an?
- 21. Warum bietet JUnit assertNotEquals-Methoden nicht an?
- 22. Spring-Boot & Spring-Security-Konfiguration
- 23. Spring Security - configure HttpSecurity
- 24. Spring Security Abmelde Handhabung
- 25. Spring-Security: Anrufmethode nach Authentifizierung
- 26. Spring Security Abmelde gibt
- 27. Spring Security HTTP-Basisauthentifizierung
- 28. Spring Security OAuth2 InvalidGrantException
- 29. Spring security: programmgesteuert anmelden
- 30. Spring Security mit Pfadvariablen
Dank Rob für die schnelle Antwort. Ich hatte Angst davor. Mit anderen Worten, ich hatte Angst, dass die Designannahmen der Vergangenheit die Entwürfe diktieren würden, mit denen wir jetzt alle leben müssen, ungeachtet ihrer Sicherheitsimplikationen. Ich werde die Welt, in der ich lebe, umarmen. – baron1405