除非您在使用后手动清理，否则char数组不会为您提供字符串，我还没有看到有人真正这样做。所以对我来说，char[]和String的偏好有点夸张。

看看这里广泛使用的SpringSecurity库，问问你自己——SpringSecurity的家伙们是无能还是字符密码根本没有意义。当一些讨厌的黑客从你的RAM中获取内存转储时，即使你使用复杂的方法隐藏密码，也要确保他/她会得到所有密码。

然而，Java一直在变化，一些可怕的特性，如Java8的字符串重复数据消除特性，可能会在您不知情的情况下实习字符串对象。但这是一个不同的对话。

字符数组（char[]）可以在使用后通过将每个字符设置为零而不设置为字符串来清除。如果有人能够以某种方式看到内存映像，那么如果使用字符串，他们可以看到纯文本的密码，但是如果使用char[]，则在用0清除数据后，密码是安全的。

大小写字符串：

    String password = "ill stay in StringPool after Death !!!";
    // some long code goes
    // ...Now I want to remove traces of password
    password = null;
    password = "";
    // above attempts wil change value of password
    // but the actual password can be traced from String pool through memory dump, if not garbage collected

案例CHAR阵列：

    char[] passArray = {'p','a','s','s','w','o','r','d'};
    // some long code goes
    // ...Now I want to remove traces of password
    for (int i=0; i<passArray.length;i++){
        passArray[i] = 'x';
    }
    // Now you ACTUALLY DESTROYED traces of password form memory

字符串是不可变的，它将进入字符串池。一旦写入，就无法覆盖。

char[]是一个数组，当您使用密码时，应该覆盖该数组，这是应该这样做的：

char[] passw = request.getPassword().toCharArray()
if (comparePasswords(dbPassword, passw) {
  allowUser = true;
  cleanPassword(passw);
  cleanPassword(dbPassword);
  passw = null;
}

private static void cleanPassword (char[] pass) {

  Arrays.fill(pass, '0');
}

攻击者可以使用它的一种情况是，当JVM崩溃并生成内存转储时，您将能够看到密码。

这不一定是恶意的外部攻击者。这可能是一个支持用户，可以访问服务器进行监控。他/她可以偷看垃圾堆并找到密码。

简单明了的答案是因为char[]是可变的，而String对象不是可变的。

Java中的字符串是不可变的对象。这就是为什么它们一旦创建就不能被修改，因此从内存中删除它们的内容的唯一方法就是垃圾收集。只有当对象释放的内存可以被覆盖时，数据才会消失。

现在，Java中的垃圾收集不会在任何保证的时间间隔内发生。因此，字符串可以在内存中保存很长时间，如果在此期间进程崩溃，字符串的内容可能会在内存转储或某些日志中结束。

使用字符数组，您可以读取密码，尽快完成处理，然后立即更改内容。

虽然这里的其他建议似乎有效，但还有一个很好的理由。使用纯字符串时，意外将密码打印到日志、监视器或其他不安全的地方的可能性要大得多。char[]不那么脆弱。

考虑一下：

public static void main(String[] args) {
    Object pw = "Password";
    System.out.println("String: " + pw);

    pw = "Password".toCharArray();
    System.out.println("Array: " + pw);
}

打印：

String: Password
Array: [C@5829428e