java之jvm学习笔记四(安全管理器)

前面已经简述了java的安全模型的两个组成部分(类装载器,class文件校验器),接下来学习的是java安全模型的另外一个重要组成部分安全管理器。

安全管理器是一个单独的对象,在java虚拟机中,它在访问控制-对于外部资源的访问控制-起到中枢作用

如果光看概念可能并不能很好的理解,或者说比较抽象,下面是ClassLoader其中的一个构造函数,先简单的看看它在初始化ClassLoader之前会做一些什么操作

  1. protected ClassLoader(ClassLoader parent) {
  2. SecurityManager security = System.getSecurityManager();
  3. if (security != null) {
  4. security.checkCreateClassLoader();
  5. }
  6. this.parent = parent;
  7. initialized = true;
  8. }

这个构造函数的第一话(当然还有隐式调用)就是System.getSecurityManager();这行代码返回的就是一个安全管理器对象security,这个对象所属的目录为java.lang.SecurityManager。

这个构造函数先判断如果已经安装了安全管理器security(在前面类装载器的章节,我们提到过,类装载器和安全管理器是可以由用户定制的,
在这里有了体现吧!!既然有System.getSecurityManager();你当然也应该猜到有
System.setSecurityManager();),也就是安全管理器不为空,那么就执行校验,跳到
checkCreateClassLoader();看看他做的是什么操作

  1. public void checkCreateClassLoader() {
  2. heckPermission(SecurityConstants.CREATE_CLASSLOADER_PERMISSION);
  3. }

这里又调用了另外一个方法,从方法名字上,就可以猜到这个方法是用来校验权限的,校验是否有创建ClassLoader的权限,再跳到checkPermisson方法里

  1. public static void checkPermission(Permission perm)
  2. throws AccessControlException
  3. {
  4. //System.err.println("checkPermission "+perm);
  5. //Thread.currentThread().dumpStack(); if (perm == null) {
  6. throw new NullPointerException("permission can't be null");
  7. } AccessControlContext stack = getStackAccessControlContext();
  8. // if context is null, we had privileged system code on the stack.
  9. if (stack == null) {
  10. Debug debug = AccessControlContext.getDebug();
  11. boolean dumpDebug = false;
  12. if (debug != null) {
  13. dumpDebug = !Debug.isOn("codebase=");
  14. dumpDebug &= !Debug.isOn("permission=") ||
  15. Debug.isOn("permission=" + perm.getClass().getCanonicalName());
  16. }     if (dumpDebug && Debug.isOn("stack")) {
  17. Thread.currentThread().dumpStack();
  18. }     if (dumpDebug && Debug.isOn("domain")) {
  19. debug.println("domain (context is null)");
  20. }     if (dumpDebug) {
  21. debug.println("access allowed "+perm);
  22. }
  23. return;
  24. } AccessControlContext acc = stack.optimize();
  25. acc.checkPermission(perm);
  26. }
  27. }

上面的这个方法有些代码比较难以理解,我们不用每行都读懂(这个方法涉及的东西比较多,它涉及到了代码签名认证,策略还有保护域,这些我们在后一节中会详细的讲解,看不懂先跳过),
看它的注解// if context is null, we had privileged system code on the
stack.意思就是如果当前的访问控制器上下文为空,在栈上的系统代码将得到特权,找到acc.checkPermission(perm);再跳进去
找到下面这段代码

  1. /*
  2. * iterate through the ProtectionDomains in the context.
  3. * Stop at the first one that doesn't allow the
  4. * requested permission (throwing an exception).
  5. *
  6. */ /* if ctxt is null, all we had on the stack were system domains,
  7. or the first domain was a Privileged system domain. This
  8. is to make the common case for system code very fast */ if (context == null)
  9. return; for (int i=0; i< context.length; i++) {
  10. if (context[i] != null &&  !context[i].implies(perm)) {
  11. if (dumpDebug) {
  12. debug.println("access denied " + perm);
  13. }  if (Debug.isOn("failure") && debug != null) {
  14. // Want to make sure this is always displayed for failure,
  15. // but do not want to display again if already displayed
  16. // above.
  17. if (!dumpDebug) {
  18. debug.println("access denied " + perm);
  19. }
  20. Thread.currentThread().dumpStack();
  21. final ProtectionDomain pd = context[i];
  22. final Debug db = debug;
  23. AccessController.doPrivileged (new PrivilegedAction() {
  24. public Object run() {
  25. db.println("domain that failed "+pd);
  26. return null;
  27. }
  28. });
  29. }
  30. throw new AccessControlException("access denied "+perm, perm);
  31. }
  32. }

什么都不用看,就看最上面的那段注解,意思是遍历上下文中的保护域,一旦发现请求的权限不被允许,停止,抛出异常,到这里我们有一个比较清晰的概念了,安全管理器就是用来控制执行权限的,而上面的这段代码中有一个很重要的类 AccessController,访问控制器,还有一个很重要的名词保护域(保护域我们在前面一节也有简单的带过一下,是不是有点印象),这些可能现在听有点模糊,不要担心,暂时不要管,后面一章节慢慢的会对他们进行讲解。

好了了解安全管理器是做什么的之后,接下来,来做一个下的实验,先来验证,默认安全管理是没
有被安装的,接着来试着把他安装上去。在我的环境中我是没有安装默认的安全管理器的,也没有基于默认的安全管理器写自己的安全管理器,如果需要打开的话,
可以在程序显示的安装安全管理器,同样可以让它自动安装默认的安全管理器(给jvm加上-Djava.security.manager就可以了。

下面我们用熟悉的ecplise写一个简单的demo来看看安装前后的区别,在下一节中,会详细的来学习代码签名认证和策略,并写一个自己的安全管理器。

  1. <span style="font-size:14px;">  public static void main(String[] args) {
  2. System.out.println(System.getSecurityManager());
  3. }</span>

运行这个main函数,输出什么?是的输出null,这个时候我们没有安装默认的安全管理器

重新换个方式运行,在ecplise里右键--Run As--Run Configuration--Arguments,在VM arguments的栏目里输入

-Djava.security.manager。在点击Run,这个时候看到什么?

输出:securityManager的对象名。这个时候默认的安全管理器就被安装上了。

总结:

在java虚拟机中,它在访问控制-对于外部资源的访问控制-起到中枢作用

java之jvm学习笔记四(安全管理器)的更多相关文章

  1. 《深入理解java虚拟机》学习笔记四/垃圾收集器GC学习/一

    Grabage Collection      GC GC要完毕的三件事情: 哪些内存须要回收? 什么时候回收? 怎样回收? 内存运行时区域的各个部分中: 程序计数器.虚拟机栈.本地方法栈这3个区域随 ...

  2. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  3. java之jvm学习笔记五(实践写自己的类装载器)

    java之jvm学习笔记五(实践写自己的类装载器) 课程源码:http://download.csdn.net/detail/yfqnihao/4866501 前面第三和第四节我们一直在强调一句话,类 ...

  4. java之jvm学习笔记二(类装载器的体系结构)

    java的class只在需要的时候才内转载入内存,并由java虚拟机的执行引擎来执行,而执行引擎从总的来说主要的执行方式分为四种, 第一种,一次性解释代码,也就是当字节码转载到内存后,每次需要都会重新 ...

  5. java之jvm学习笔记三(Class文件检验器)

    java之jvm学习笔记三(Class文件检验器) 前面的学习我们知道了class文件被类装载器所装载,但是在装载class文件之前或之后,class文件实际上还需要被校验,这就是今天的学习主题,cl ...

  6. java之jvm学习笔记十三(jvm基本结构)

    java之jvm学习笔记十三(jvm基本结构) 这一节,主要来学习jvm的基本结构,也就是概述.说是概述,内容很多,而且概念量也很大,不过关于概念方面,你不用担心,我完全有信心,让概念在你的脑子里变成 ...

  7. Java虚拟机JVM学习06 自定义类加载器 父委托机制和命名空间的再讨论

    Java虚拟机JVM学习06 自定义类加载器 父委托机制和命名空间的再讨论 创建用户自定义的类加载器 要创建用户自定义的类加载器,只需要扩展java.lang.ClassLoader类,然后覆盖它的f ...

  8. java jvm学习笔记四(安全管理器)

    欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 前面已经简述了java的安全模型的两个组成部分(类装载器,class文件校验器),接下来学习的是java安全模型的另外一 ...

  9. java之jvm学习笔记六(实践写自己的安全管理器)

    安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用AccessController的checkPerssiom方法,访问控 ...

随机推荐

  1. Java 螺纹第三版 第三章数据同步 读书笔记

    多线程间共享数据问题 一.Synchronizedkeyword      atomic一词与"原子"无关,它以前被觉得是物质的最小的单元,不能再被拆解成更小的部分.      当 ...

  2. WCF技术剖析之十七:消息(Message)详解(中篇)

    原文:WCF技术剖析之十七:消息(Message)详解(中篇) [爱心链接:拯救一个25岁身患急性白血病的女孩[内有苏州电视台经济频道<天天山海经>为此录制的节目视频(苏州话)]]在上篇中 ...

  3. 基于visual Studio2013解决C语言竞赛题之1028平均值

          题目 解决代码及点评 /* 已知有9个数,请求出这些数中的最大值.最小值及平均值,以及有多少个数等于平均值? */ #include<stdio.h> ...

  4. 操作系统栈溢出检測之ucosII篇

    操作系统栈溢出检測之uc/osII篇 Author               :       David Lin (林鹏) E-mail               :       linpeng1 ...

  5. PHP之验证码代码

    <?php session_start(); $checkcode=""; /*for($i=0;$i<4;$i++) { $checkcode.=dechex(ran ...

  6. Spring Configuration Check Unmapped Spring configuration files found

    Spring Configuration Check Unmapped Spring configuration files found 项目中有xml文件,但没有被用IntelliJ 导入现有工程时 ...

  7. Linux编译多个不同目录下的文件以及静态库、动态库的使用

    先看两篇博文,作为基础知识.如果对C/C++编译链接过程都了解的话,可以跳过不看. http://www.firedragonpzy.com.cn/index.php/archives/2556 ht ...

  8. Not able to reset SmartRF04DD

    今天在使用使用CC2540的时候,想下载个程序到CC2540底板上,结果出现Not able to reset SmartRF04DD的错误.如下图 经过一番摸索,最终是按下CCDEBUG上的rese ...

  9. Kendo UI开发教程(21): Kendo MVVM 数据绑定(十) Source

    Source绑定可以把ViewModel的值和由Kendo模板定义的目标元素绑定,如果ViewModel的值发生变化,被绑定的目标元素也随之发生变化.模板由属性data-template指定,它的值为 ...

  10. openstack中Nova组件images的全部python API 汇总

    感谢朋友支持本博客.欢迎共同探讨交流,因为能力和时间有限,错误之处在所难免.欢迎指正! 假设转载,请保留作者信息. 博客地址:http://blog.csdn.net/qq_21398167 原博文地 ...