本文探讨了String equals方法的原理,并介绍了safeEquals比较方式,旨在防止计时攻击。计时攻击是一种边信道攻击,通过比较不同输入导致的不同执行时间来获取敏感信息。文中通过例子解释了为何在某些安全场景下需要使用常量时间复杂度的比较方法,并提及了PHP中的hash_equals和Java的MessageDigest isEqual方法作为安全比较的实例。
文章部分引用自 https://mp.weixin.qq.com/s/XlBXwsCzNf_tUkTnuX3bnA
先贴一段代码,代码点进equals源码就能看到
public boolean equals(Object var1) {
if (this == var1) {
return true;
} else {
if (var1 instanceof String) {
String var2 = (String)var1;
int var3 = this.value.length;
if (var3 == var2.value.length) {
char[] var4 = this.value;
char[] var5 = var2.value;
for(int var6 = 0; var3-- != 0; ++var6) {
if (var4[var6] != var5[var6]) {
return false;
}
}
return true;
}
}
return false;
}
}首先 两个字符串用等号比较是否相等,这个没毛病。
<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
