編者按：筆者在處理業(yè)務(wù)線問(wèn)題時(shí)遇到接口返回的內(nèi)容和實(shí)際內(nèi)容不一致的現(xiàn)象。根因是業(yè)務(wù)方通過(guò)Java反射機(jī)制將String類(lèi)型敏感數(shù)據(jù)引用的value數(shù)組元素全部設(shè)置為'0'，從而實(shí)現(xiàn)清空用戶敏感數(shù)據(jù)的功能。這種清空用戶敏感數(shù)據(jù)的方法會(huì)將字符串常量池相應(yīng)地址的內(nèi)容修改，進(jìn)而導(dǎo)致所有指向該地址的引用的內(nèi)容和實(shí)際值不一致的現(xiàn)象。

背景知識(shí)

JVM為了提高性能和減少內(nèi)存開(kāi)銷(xiāo)，在實(shí)例化字符串常量時(shí)進(jìn)行了優(yōu)化。JVM在Java堆上開(kāi)辟了一個(gè)字符串常量池空間（StringTable)，JVM通過(guò)ldc指令加載字符串常量時(shí)會(huì)調(diào)用 StringTable::intern 函數(shù)將字符串加入到字符串常量池中。

• StringTable::intern函數(shù)代碼

  oopStringTable::intern(Handlestring_or_null,jchar*name,
  intlen,TRAPS){
  unsignedinthashValue=hash_string(name,len);
  intindex=the_table()->hash_to_index(hashValue);
  oopfound_string=the_table()->lookup(index,name,len,hashValue);
  
  //Found
  if(found_string!=NULL){
  ensure_string_alive(found_string);
  returnfound_string;
  }
  
  debug_only(StableMemoryCheckersmc(name,len*sizeof(name[0])));
  assert(!Universe::heap()->is_in_reserved(name),
  "proposednameofsymbolmustbestable");
  
  Handlestring;
  //trytoreusethestringifpossible
  if(!string_or_null.is_null()){
  string=string_or_null;
  }else{
  string=java_lang_String::create_from_unicode(name,len,CHECK_NULL);
  }
  
  #ifINCLUDE_ALL_GCS
  if(G1StringDedup::is_enabled()){
  //Deduplicatethestringbeforeitisinterned.Notethatweshouldnever
  //deduplicateastringafterithasbeeninterned.Doingsowillcounteract
  //compileroptimizationsdoneone.g.internedstringliterals.
  G1StringDedup::deduplicate(string());
  }
  #endif
  
  //GrabtheStringTable_lockbeforegettingthe_table()becauseitcould
  //changeatsafepoint.
  oopadded_or_found;
  {
  MutexLockerml(StringTable_lock,THREAD);
  //Otherwise,addtosymboltotable
  added_or_found=the_table()->basic_add(index,string,name,len,
  hashValue,CHECK_NULL);
  }
  
  ensure_string_alive(added_or_found);
  
  returnadded_or_found;
  }
  
  

• StringTable::intern 函數(shù)處理流程

  

• 字符串的創(chuàng)建方式

  根據(jù)StringTable::intern函數(shù)處理流程，我們可以簡(jiǎn)單描繪如下6種常見(jiàn)的字符串的創(chuàng)建方式以及引用關(guān)系。

現(xiàn)象

某業(yè)務(wù)線使用fastjson實(shí)現(xiàn)Java對(duì)象序列化功能，低概率出現(xiàn)接口返回的JSON數(shù)據(jù)的某個(gè)屬性值和實(shí)際值不一致的現(xiàn)象。正確的屬性值應(yīng)該為"null"，實(shí)際屬性值卻為"0000"。

原因分析

為了排除fastjson自身的嫌疑，我們將其替換jackson后，依然會(huì)低概率出現(xiàn)同樣的現(xiàn)象。由于兩個(gè)不同三方件同時(shí)存在這個(gè)問(wèn)題的可能性不大，為此我們暫時(shí)排除fastjson引入該問(wèn)題的可能性。為了找到該問(wèn)題的根因，我們?cè)诃h(huán)境中開(kāi)啟遠(yuǎn)程調(diào)試功能。待問(wèn)題復(fù)現(xiàn)，調(diào)試代碼時(shí)我們發(fā)現(xiàn)只要是指向"null"的引用，顯示的內(nèi)容全部變成"0000"，由此我們初步懷疑字符串常量池中的"null"被修改成"0000"。

一般導(dǎo)致常量池被修改有兩種可能性：

1. 第三方動(dòng)態(tài)庫(kù)引入的bug導(dǎo)致字符串常量池內(nèi)容被修改；
2. 在業(yè)務(wù)代碼中通過(guò)Java反射機(jī)制主動(dòng)修改字符串常量池內(nèi)容；

業(yè)務(wù)方排查項(xiàng)目中使用到的第三方動(dòng)態(tài)庫(kù)，未發(fā)現(xiàn)可疑的動(dòng)態(tài)庫(kù)，排除第一種可能性。排查業(yè)務(wù)代碼中使用到Java反射的功能，發(fā)現(xiàn)清空密碼功能會(huì)使用到Java反射機(jī)制，并且將String類(lèi)型密碼的value數(shù)組元素全部設(shè)置為'0'。

業(yè)務(wù)出現(xiàn)的現(xiàn)象可以簡(jiǎn)單通過(guò)代碼模擬：

1. 在TestString對(duì)象類(lèi)中定義一個(gè)nullStr屬性，初始值為"null"；
2. 定義一個(gè)帶有password屬性的User類(lèi)；
3. 在main方法中創(chuàng)建一個(gè)密碼為"null"的User對(duì)象，使用Java反射機(jī)制將密碼字符串的所有字符全部修改為'0'，分別在密碼修改前后打印TestString對(duì)象nullStr屬性值；

復(fù)現(xiàn)代碼

importjava.lang.reflect.Field;
importjava.util.Arrays;

publicclassTestString{
privateStringnullStr="null";

publicStringgetNullStr(){
returnnullStr;
}

staticclassUser{
privatefinalStringpassword;

User(Stringpassword){
this.password=password;
}

publicStringgetPassword(){
returnpassword;
}
}

privatestaticvoidclearPassword(Useruser)throwsException{
Fieldfield=String.class.getDeclaredField("value");
field.setAccessible(true);
char[]chars=(char[])field.get(user.getPassword());
Arrays.fill(chars,'0');
}

publicstaticvoidmain(String[]args)throwsException{
Useruser=newUser("null");
TestStringtestString=newTestString();
System.out.println("beforeclearpassword>>>>");
System.out.println("User.password:"+user.getPassword());
System.out.println("TestString.nullStr:"+testString.getNullStr());
System.out.println("--------------------------------");
clearPassword(user);
System.out.println("afterclearpassword>>>>");
System.out.println("User.password:"+user.getPassword());
System.out.println("TestString.nullStr:"+testString.getNullStr());
}
}

復(fù)現(xiàn)代碼字符串引用關(guān)系如下圖所示。

輸出結(jié)果如下：

beforeclearpassword>>>>
User.password:null
TestString.nullStr:null
--------------------------------
afterclearpassword>>>>
User.password:0000
TestString.nullStr:0000

通過(guò)輸出結(jié)果我們可以發(fā)現(xiàn)在通過(guò)Java反射機(jī)制修改某一個(gè)字符串內(nèi)容后，所有指向原字符串的引用的內(nèi)容全部變成修改后的內(nèi)容。

總結(jié)

在保存業(yè)務(wù)敏感數(shù)據(jù)時(shí)避免使用String類(lèi)型保存，建議使用byte[]或char[]數(shù)組保存，然后通過(guò)Java反射機(jī)制清空敏感數(shù)據(jù)。

后記

如果遇到相關(guān)技術(shù)問(wèn)題（包括不限于畢昇 JDK），可以通過(guò) Compiler SIG 求助。Compiler SIG 每雙周周二舉行技術(shù)例會(huì)，同時(shí)有一個(gè)技術(shù)交流群討論 GCC、LLVM 和 JDK 等相關(guān)編譯技術(shù)，感興趣的同學(xué)可以添加如下微信小助手入群。