除非您在使用后手动清理，否则char数组不会为您提供字符串，我还没有看到有人真正这样做。所以对我来说，char[]和String的偏好有点夸张。

看看这里广泛使用的SpringSecurity库，问问你自己——SpringSecurity的家伙们是无能还是字符密码根本没有意义。当一些讨厌的黑客从你的RAM中获取内存转储时，即使你使用复杂的方法隐藏密码，也要确保他/她会得到所有密码。

然而，Java一直在变化，一些可怕的特性，如Java8的字符串重复数据消除特性，可能会在您不知情的情况下实习字符串对象。但这是一个不同的对话。

编辑：经过一年的安全研究后，我回到了这个答案，我意识到这意味着你可能会比较明文密码。请不要。使用一个安全的单向散列和一个合理的迭代次数。考虑使用图书馆：这东西很难弄对！

原始答案：String.equals（）使用短路求值，因此容易受到定时攻击，这一事实如何？这可能不太可能，但理论上可以对密码比较计时，以确定正确的字符序列。

public boolean equals(Object anObject) {
    if (this == anObject) {
        return true;
    }
    if (anObject instanceof String) {
        String anotherString = (String)anObject;
        int n = value.length;
        // Quits here if Strings are different lengths.
        if (n == anotherString.value.length) {
            char v1[] = value;
            char v2[] = anotherString.value;
            int i = 0;
            // Quits here at first different character.
            while (n-- != 0) {
                if (v1[i] != v2[i])
                    return false;
                i++;
            }
            return true;
        }
    }
    return false;
}

关于定时攻击的更多资源：

定时攻击的教训关于信息安全堆栈交换上定时攻击的讨论当然，定时攻击维基百科页面

Java中的字符串是不可变的。因此，无论何时创建字符串，它都将保留在内存中，直到被垃圾收集。因此，任何访问内存的人都可以读取字符串的值。

如果字符串的值被修改，那么它将最终创建一个新字符串。因此，原始值和修改后的值都保留在内存中，直到被垃圾收集。

使用字符数组，一旦达到密码的目的，就可以修改或删除数组的内容。在修改数组之后，甚至在垃圾收集开始之前，都不会在内存中找到数组的原始内容。

出于安全考虑，最好将密码存储为字符数组。

字符串是不可变的，它将进入字符串池。一旦写入，就无法覆盖。

char[]是一个数组，当您使用密码时，应该覆盖该数组，这是应该这样做的：

char[] passw = request.getPassword().toCharArray()
if (comparePasswords(dbPassword, passw) {
  allowUser = true;
  cleanPassword(passw);
  cleanPassword(dbPassword);
  passw = null;
}

private static void cleanPassword (char[] pass) {

  Arrays.fill(pass, '0');
}

攻击者可以使用它的一种情况是，当JVM崩溃并生成内存转储时，您将能够看到密码。

这不一定是恶意的外部攻击者。这可能是一个支持用户，可以访问服务器进行监控。他/她可以偷看垃圾堆并找到密码。

有些人认为，一旦您不再需要密码，就必须覆盖用于存储密码的内存。这缩短了攻击者从系统读取密码的时间窗口，并完全忽略了这样一个事实，即攻击者已经需要足够的访问权限来劫持JVM内存。具有如此多访问权限的攻击者可以捕获您的关键事件，使其完全无用（AFAIK，所以如果我错了，请纠正我）。

使现代化

感谢这些评论，我不得不更新我的答案。显然，在两种情况下，这可以增加（非常）轻微的安全改进，因为它可以减少密码在硬盘上的时间。但我仍然认为这对大多数用例来说都是过度的。

您的目标系统可能配置不正确，或者您必须假设它是错误的，并且您必须对核心转储（如果系统不是由管理员管理的，则可能是有效的）心存疑虑。您的软件必须过于偏执，以防止攻击者使用TrueCrypt（已停产）、VeraCrypt或CipherShed等工具访问硬件时发生数据泄漏。

如果可能，禁用内核转储和交换文件可以解决这两个问题。然而，它们需要管理员权限，可能会减少功能（使用的内存更少），从运行系统中取出RAM仍然是一个值得关注的问题。

简单明了的答案是因为char[]是可变的，而String对象不是可变的。

Java中的字符串是不可变的对象。这就是为什么它们一旦创建就不能被修改，因此从内存中删除它们的内容的唯一方法就是垃圾收集。只有当对象释放的内存可以被覆盖时，数据才会消失。

现在，Java中的垃圾收集不会在任何保证的时间间隔内发生。因此，字符串可以在内存中保存很长时间，如果在此期间进程崩溃，字符串的内容可能会在内存转储或某些日志中结束。

使用字符数组，您可以读取密码，尽快完成处理，然后立即更改内容。