zoukankan      html  css  js  c++  java
  • 【Java编码准则】の #11不要使用Object.equals()来比較密钥值

         java.lang.Object.equals()函数默认情况下是不能用来比較组合对象的,比如密钥值。非常多Key类没有覆写equals()函数,因此,组合对象的比較必须单独比較里面的各个类型以保证正确性。


    [不符合安全要求的代码演示样例]

         以下的代码使用equals()函数比較两个key值,key值即使具有同样的取值也可能会返回不相等,导致结果出错。

    	private static boolean keysEqual(Key key1, Key key2) {
    		if (key1.equals(key2)) {
    			return true;
    		}
    		return false;
    	}


    [符合安全要求的解决方式]

         本方案使用equals()方法作为第一个推断依据,假设不相等,则继续比較两个key值的编码版本号,假设还不相等,则进一步比較RSAPrivateKey和RSAPrivateCrtKey是否表示同一个私钥,是的话也返回相等。

    	private static boolean keysEqual(Key key1, Key key2) {
    		if (key1.equals(key2)) {
    			return true;
    		}
    		
    		if (Arrays.equals(key1.getEncoded(), key2.getEncoded())) {
    			return true;
    		}
    		
    		// more code for different types of keys here
    		// for example, the following code can check whether
    		// an RSAPrivateKey and RSAPrivateCrtKey are equal
    		if ((key1 instanceof RSAPrivateKey) && (key2 instanceof RSAPrivateCrtKey)) {
    			if ( ((RSAKey)key1).getModulus().equals( ((RSAKey)key2).getModulus() ) &&
    				((RSAPrivateKey)key1).getPrivateExponent().equals( ((RSAPrivateKey)key2).getPrivateExponent() ) ) {
    				return true;
    			}
    		}
    		return false;
    	}

         总之,单纯使用Object.equals()函数比較两个密钥值是否相等, 仅仅会产生不可预知的结果。


    ——欢迎转载,请注明出处 http://blog.csdn.net/asce1885 ,未经本人允许请勿用于商业用途,谢谢——

  • 相关阅读:
    1.Oracle12cR1的集群件及其组件
    28.oracle监听开启trace file
    connection strings for sql server 2005
    MDAC(Introduce to Microsoft Data Access Components)
    动态链接导入库与静态链接库
    vue3.0小印象
    vue3.0中的vite如何引入markdown文件为页面
    算法
    适配器模式(转载)
    WEB即时通讯之 XMPP OPENFIRE strophe JAXL
  • 原文地址:https://www.cnblogs.com/zfyouxi/p/3806778.html
Copyright © 2011-2022 走看看