Java的Base64类仅用于二进制与ASCII文本转换,非加密工具;禁用sun.misc.BASE64Encoder,须改用java.util.Base64并显式指定UTF-8字符集。
Java 的 Base64 类(位于 java.util 包)根本不是加密工具,它的唯一作用是:把二进制数据转成纯 ASCII 字符串,确保能在只认文本的地方“不丢、不乱、不截断”地传过去。
为什么不能用 sun.misc.BASE64Encoder?
这个类是 JDK 内部实现,从 JDK 9 起默认不可访问,模块化项目里直接报 NoClassDefFoundError 或 IllegalAccessError。它没做输入校验、不处理空值、异常信息模糊,而且官方文档明确标记为“不支持、不维护”。
- 替代方案只有且必须是
java.util.Base64 - 所有新项目禁止出现
sun.misc引用,CI 流水线应配置检查 - 如果老代码还在用,迁移只需两步:改 import + 把
encoder.encode(buf)换成Base64.getEncoder().encodeToString(buf)
Base64.getEncoder()、getUrlEncoder()、getMimeEncoder() 有什么区别?
三者输出格式不同,选错会导致对方解码失败——这不是 bug,是协议不匹配。
-
Base64.getEncoder():输出含+、/和末尾=,适合日志、配置项、普通 API body -
Base64.getUrlEncoder():把+→-、/→_、去掉=,专用于 URL 路径、查询参数、JWT payload -
Base64.getMimeEncoder():每 76 字符加\r\n,符合邮件附件规范,别乱用在 HTTP 接口里
解码时必须用对应解码器:getUrlDecoder() 不认 +,getDecoder() 不认 -,混用直接抛 IllegalArgumentException。
立即学习“Java免费学习笔记(深入)”;
字符串编解码必须指定字符集,否则会乱码
很多人写 str.getBytes() 或 new String(bytes),看似能跑通,但一旦遇到中文、emoji 或非默认编码系统(比如 Linux 服务器用 UTF-8,Windows 开发机用 GBK),结果就错得离谱。
正确写法只有这一种组合:
String original = "你好,世界!"; // 编码 String encoded = Base64.getEncoder().encodeToString(original.getBytes(StandardCharsets.UTF_8)); // 解码 byte[] decodedBytes = Base64.getDecoder().decode(encoded); String decoded = new String(decodedBytes, StandardCharsets.UTF_8);
- 永远显式传
StandardCharsets.UTF_8,别依赖平台默认 - 不要对 Base64 字符串本身做 trim() 或 replaceAll(" ", "") —— 空格不是合法 Base64 字符,出现说明源头已污染
-
大数据量(如文件)别一次性读进内存,用
Base64.getEncoder().wrap(outputStream)流式处理
最常被忽略的一点:Base64 编码后体积膨胀约 33%,且毫无保密性——任何在线工具秒级还原。如果你真需要防窥,它只能当“外衣”,后面还得套 AES 或 RSA。
