虽然这里的其他建议似乎有效，但还有一个很好的理由。使用纯字符串时，意外将密码打印到日志、监视器或其他不安全的地方的可能性要大得多。char[]不那么脆弱。

考虑一下：

public static void main(String[] args) {
    Object pw = "Password";
    System.out.println("String: " + pw);

    pw = "Password".toCharArray();
    System.out.println("Array: " + pw);
}

打印：

String: Password
Array: [C@5829428e

简单明了的答案是因为char[]是可变的，而String对象不是可变的。

Java中的字符串是不可变的对象。这就是为什么它们一旦创建就不能被修改，因此从内存中删除它们的内容的唯一方法就是垃圾收集。只有当对象释放的内存可以被覆盖时，数据才会消失。

现在，Java中的垃圾收集不会在任何保证的时间间隔内发生。因此，字符串可以在内存中保存很长时间，如果在此期间进程崩溃，字符串的内容可能会在内存转储或某些日志中结束。

使用字符数组，您可以读取密码，尽快完成处理，然后立即更改内容。

字符串是不可变的。这意味着一旦创建了String，如果另一个进程可以转储内存，那么在垃圾收集开始之前，就没有办法（除了反射之外）清除数据。

使用数组，您可以在完成后显式擦除数据。您可以用任何您喜欢的内容覆盖数组，并且密码不会出现在系统中的任何位置，甚至在垃圾收集之前。

是的，这是一个安全问题，但即使使用char[]也只会减少攻击者的机会窗口，而且只针对这种特定类型的攻击。

如注释中所述，垃圾收集器移动的数组可能会在内存中留下数据的零散副本。我认为这是特定于实现的——垃圾收集器可以在运行时清除所有内存，以避免这种情况。即使这样，char[]仍有一段时间包含实际字符作为攻击窗口。

Java中的字符串是不可变的。因此，无论何时创建字符串，它都将保留在内存中，直到被垃圾收集。因此，任何访问内存的人都可以读取字符串的值。

如果字符串的值被修改，那么它将最终创建一个新字符串。因此，原始值和修改后的值都保留在内存中，直到被垃圾收集。

使用字符数组，一旦达到密码的目的，就可以修改或删除数组的内容。在修改数组之后，甚至在垃圾收集开始之前，都不会在内存中找到数组的原始内容。

出于安全考虑，最好将密码存储为字符数组。

大小写字符串：

    String password = "ill stay in StringPool after Death !!!";
    // some long code goes
    // ...Now I want to remove traces of password
    password = null;
    password = "";
    // above attempts wil change value of password
    // but the actual password can be traced from String pool through memory dump, if not garbage collected

案例CHAR阵列：

    char[] passArray = {'p','a','s','s','w','o','r','d'};
    // some long code goes
    // ...Now I want to remove traces of password
    for (int i=0; i<passArray.length;i++){
        passArray[i] = 'x';
    }
    // Now you ACTUALLY DESTROYED traces of password form memory

字符数组（char[]）可以在使用后通过将每个字符设置为零而不设置为字符串来清除。如果有人能够以某种方式看到内存映像，那么如果使用字符串，他们可以看到纯文本的密码，但是如果使用char[]，则在用0清除数据后，密码是安全的。