在日常的 Java 开发中,当我们需要比较两个字符串是否相等时,几乎所有人都会下意识地敲出 a.equals(b)。从性能和业务逻辑的角度来看,这无可厚非。但在涉及高安全性场景(如校验 API Token、Session ID、HMAC 签名或密码哈希)时,这个习惯却可能悄悄为你敞开一扇名为计时攻击(Timing Attack)的后门。
今天,我们通过一段只有十几行的 Java 代码,来聊聊为什么“高效”有时候不仅不是好事,反而会成为致命的安全漏洞。
继续阅读“别让“效率”出卖了你的密钥:深入剖析常数时间字符串比较”