我的问题来自一个假设,即最佳实践是在JVM环境中不要将密码作为String处理。 Android实际上将EditText内的文本作为char的数组进行处理,并提供了一种getChars方法来获取这种数组。
鉴于我可以用这种方式处理密码,当我不得不序列化密码以将其放入请求正文时会发生什么?我应该在服务器端点上以char[]的形式接收它吗?即使使用此选项,客户端也会最终将其序列化为类似['p','w','d']之类的内容,即String。
为弄清楚这一点,我观察了从设备到Amazon身份验证端点的出站流量,实际上在请求正文中清楚地显示了我的密码;所以我的问题甚至可能变成:整个密码与字符串之间的关系到底有多重要(至少在Android中如此)?
编辑:explanation关于我为何有此担忧。
答案 0 :(得分:0)
您可以在通过API发送数据时使用hash函数对其进行转换。