Мой вопрос возникает из предположения, что лучше не обрабатывать пароли, как String в среде JVM. Android фактически обрабатывает текст внутри EditText s как массив char и предоставляет метод getChars для получения такого массива.
Учитывая, что я могу обработать пароль таким образом, что произойдет, когда мне придется сериализовать его, чтобы поместить в тело запроса? Должен ли я получить его на моей конечной точке сервера как char[]? Даже с этой опцией на стороне клиента он в конечном итоге будет сериализован в что-то вроде ['p','w','d'], что опять же, String.
Чтобы попытаться выяснить это, я наблюдал исходящий трафик с устройства на конечные точки аутентификации Amazon, и на самом деле мой пароль виден в теле запроса; так что мой вопрос может даже превратиться в: насколько важны все эти пароли против строк (по крайней мере, в Android)?
Редактировать: объяснение того, почему у меня такое беспокойство.