清除敏感字符串内容

背景：连接邮箱、短信等服务器信息中密码属于敏感信息，需要在内存中清除。常规做法是前台传递密码明文对应char[]，使用完后把数组每个元素修改为0。但是必须出现String的情况不适用，比如：连接邮箱服务器使用的用户密码；调用rest接口传递的json字符串包含密码明文。

分析：字符串为final类型，运行期间不可改变，涉及常量池，赋值为null并不会回收内存。但是new String不同，可以回收内存。但是JVM回收不及时，要是可以在使用完成后清除char[]内容，也可以做到不改变常量池中的内容。问题转化为如何清理new String内存？

解决思路：String只是一个引用，它的内容是char[] value，value为内部私有变量，不可以访问。但是java反射可以搞定这件事，代码如下：

char[] chars = new char[] { 'a', 'a', 'a', 'a' };

String valueStr = new String(chars);

System.out.println(valueStr);

Field field = valueStr.getClass().getDeclaredField("value");

field.setAccessible(true);

field.set(valueStr, new char[] { 0, 0, 0, 0 });

field.setAccessible(false);

System.out.println(valueStr);

System.out.println("aaaa");

System.out.println(new String(new char[] { 'a', 'a', 'a', 'a' }));

改变了私有变量为可访问权限，得到value，改变数组的值，然后再把权限设回去。加上打印常量池字符串和new String同样的内容，结果如下：

 

测试证明，这种方法是可行的，不会改变后面同样内容的字符串内容。通过查看源码，org.codehaus.jackson.map.ObjectMapper.writeValueAsString(Object value) 方法，返回的字符串也是new String，所以也是适用的。经过测试，不会影响其它相同内容的json字符串。

 

这样，对于json字符串和new String都可以使用这样的方式清除敏感信息内容。但是需要注意的是：如果不是new出来的字符串，一旦修改了，就会影响常量池字符串内容，后果很严重。