作者:郭嘉

邮箱:allenwells@163.com

博客:http://blog.csdn.net/allenwells

github:https://github.com/AllenWell

一 安全管理器的功能

安全管理器是一个同意程序实现安全策略的类,它会在执行阶段检查须要保护的资源的訪问权限及其它规定的操作权限。保护系统免受恶意操作攻击。以达到系统的安全策略。

安全管理器负责检查的操作主要包括以下几个:

  • 创建一个新的类载入器
  • 退出虚拟机
  • 使用反射訪问还有一个类的成员
  • 訪问本地连接
  • 打开socket连接
  • 启动打印作业
  • 訪问系统剪贴板
  • 訪问AWT事件队列
  • 打开一个顶层窗体

注意:在执行Java应用程序时,默认的设置是不安装安全管理器的,这样全部的操作都是同意的,

安全管理器的工作流程例如以下图所看到的:

一 安全管理器的使用

1.1 获取安全管理器



Security security = System.getSecurityManager();

1.2 启动安全管理器

1.2.1 命令行启动

java -Djava.security.manager class_name

1.2.2 程序启动

在启动安全管理器时能够通过-Djava.security.policy选项来指定安全策略文件。

假设没有指定策略文件的路径,那么安全管理器将使用默认的安全策略文件,它位于%JAVA_HOME%/jre/lib/security文件夹以下的java.policy。

注意

  • =表示这个策略文件将和默认的策略文件一同发挥作用。
  • ==表示仅仅使用这个策略文件。

policy文件包括了多个grant语句,每个grant描写叙述某些代码拥有某些操作的权限。在启动安全管理器时会依据policy文件生成一个Policy对象,不论什么时候一个应用程序仅仅能有一个Policy对象

SecurityManager sm=new SecurityManager();

System.setSecurityManager(sm);

默认的%JAVA_HOME%/jre/lib/security/java.policy文件内容例如以下所看到的:

// Standard extensions get all permissions by default

grant codeBase "file:${{java.ext.dirs}}/*" {

        permission java.security.AllPermission;

};

// default permissions granted to all domains

grant {

        // Allows any thread to stop itself using the java.lang.Thread.stop()

        // method that takes no argument.

        // Note that this permission is granted by default only to remain

        // backwards compatible.

        // It is strongly recommended that you either remove this permission

        // from this policy file or further restrict it to code sources

        // that you specify, because Thread.stop() is potentially unsafe.

        // See the API specification of java.lang.Thread.stop() for more

        // information.

        permission java.lang.RuntimePermission "stopThread";

        // allows anyone to listen on dynamic ports

        permission java.net.SocketPermission "localhost:0", "listen";

        // "standard" properies that can be read by anyone

        permission java.util.PropertyPermission "java.version", "read";

        permission java.util.PropertyPermission "java.vendor", "read";

        permission java.util.PropertyPermission "java.vendor.url", "read";

        permission java.util.PropertyPermission "java.class.version", "read";

        permission java.util.PropertyPermission "os.name", "read";

        permission java.util.PropertyPermission "os.version", "read";

        permission java.util.PropertyPermission "os.arch", "read";

        permission java.util.PropertyPermission "file.separator", "read";

        permission java.util.PropertyPermission "path.separator", "read";

        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";

        permission java.util.PropertyPermission "java.specification.vendor", "read";

        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";

        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";

        permission java.util.PropertyPermission "java.vm.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.version", "read";

        permission java.util.PropertyPermission "java.vm.vendor", "read";

        permission java.util.PropertyPermission "java.vm.name", "read";

};

1.3 关闭安全管理器

SecurityManager sm=System.getSecurityManager();

if(sm!=null)

{

    System.setSecurityManager(null);

}

以上代码仅仅有在位于{JDK_HOME}/jre/lib/security文件夹下或者其它指定文件夹下的java.policy文件里指定了一个权限才会生效。

该权限是:

permission java.lang.RuntimePermission"setSecurityManager";

1.4 安全管理器检查

security.checkXXX(...);

检查完毕后,成功则安全管理器返回。失败则安全管理器抛出SecurityException,注意该约定唯一的例外是checkTopLevelWindow。它返回boolean值

1.5 安全管理器权限检查

安全管理器中全部其它check()方法的默认实现都是调用SecurityManager.checkPermission()方法来确定线程是否具有执行所请求的操作的权限。

仅仅带有单个权限參数的checkPermission()方法总是在当前执行的线程上下文中执行安全检查。

假设在给定的上下文进行检查须要在不同的上下文中进行,能够使用Java提供的包括上下文參数的getSecurityContext()方法和checkPermission()方法,例如以下所看到的:

Object context = null;

SecurityManager sm = System.getSecurityManager();

if(sm != null)

{

    context = sm.getSecurityContext();//该方法返回当前调用上下文的一个快照

    sm.checkPermission(permission, context);//该方法使用一个上下文对象,以及依据该上下文(不是当前执行线程的上下文)作出訪问决策的权限。

}

权限分为以下几个类别:

  • 文件
  • 套接字
  • 网络
  • 安全性
  • 执行时
  • 属性
  • AWT
  • 反射
  • 可序列化

相应的权限类为:

  • java.io.FilePermission
  • java.net.SocketPermission
  • java.net.NetPermission
  • java.security.SecurityPermission
  • java.lang.RuntimePermission
  • java.util.PropertyPermission
  • java.awt.AWTPermission
  • java.lang.reflect
  • ReflectPermission
  • java.io.SerializablePermission

整个权限类的层次结构例如以下图所看到的:

以下写一个样例来演示一下自己定义安全管理器的使用。

import java.io.FileInputStream;

import java.io.FileNotFoundException;

public class SecurityManagerDemo

{

     public static void main(String[] args) throws FileNotFoundException

    {

         System.out.println("SecurityManager: " + System.getSecurityManager());

         FileInputStream fis = new FileInputStream("C:\\Users\\Administrator\\my.txt");

         System.out.println(System.getProperty("file.encoding"));

    }

}

注意:my.txt是已经存在的文件,须要在你的文件夹创建,这里的文件夹是C:\Users\Administrator

直接执行

直接执行SecurityManagerDemo,相当于没有启动安全管理器,SecurityManager打印出来为null,且能正确读取protect.txt文件跟file.encoding属性。例如以下图所看到的:

加入启动參数执行

加入启动參数

-Djava.security.manager -Djava.security.policy=C:\\Users\\Administrator\\my.policy//自己定义策略文件

指定-Djava.security.manager參数,此时SecurityManager打印出来为不为null,my.policy里面并没有做不论什么授权。所以在读取文件的时就抛出AccessControlException异常,例如以下图所看到的:

创建my.policy,并写入以下grant:

grant {

permission java.io.FilePermission "C:\\Users\\Administrator\\my.txt", "read";

permission java.util.PropertyPermission "file.encoding", "read";

};

此时能够正确读取。例如以下图所看到的:

三 实现自己定义的安全管理器

实现自己定义的安全管理器一般分为两步:

  1. 创建一个SecurityManager子类,依据须要重写一些方法。
  2. 依据应用程序代码的权限须要配置策略文件。

以下写一个样例来演示一下自己定义安全管理器的使用:

自己定义类MySecurityManager继承于SecurityManager,重写了checkRead()方法。

public class MySecurityManager extends SecurityManager

{  

    @Override

    public void checkRead(String file)

    {

        //super.checkRead(file, context);

        if (file.endsWith("not"))

        {

            throw new SecurityException("你没有读取的本文件的权限");

        }

    }  

}

写个測试类MySecurityManagerDemo观察MySecurityManager是否实用。

import java.io.FileInputStream;

import java.io.IOException;  

public class MySecurityManagerDemo

{

    public static void main(String[] args)

    {

        System.setSecurityManager(new MySecurityManager());

        try

        {

            FileInputStream fis = new FileInputStream("not");

            System.out.println(fis.read());

        }

        catch (IOException e)

        {

            e.printStackTrace();

        }

      }

}

执行完毕后,输出打印“你没有读取的本文件的权限”。说明MySecurityManager能够使用。结果例如以下图所看到的:

【Java 安全技术探索之路系列:J2SE安全架构】之二:安全管理器的更多相关文章

  1. 【Java 虚拟机探索之路系列】:JIT编译器

    作者:郭嘉 邮箱:allenwells@163.com 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWell 为 ...

  2. java安全沙箱(四)之安全管理器及Java API

    java是一种类型安全的语言,它有四类称为安全沙箱机制的安全机制来保证语言的安全性,这四类安全沙箱分别是: 类加载体系 .class文件检验器 内置于Java虚拟机(及语言)的安全特性 安全管理器及J ...

  3. java jvm学习笔记六(实现写自己的安全管理器)

    安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用AccessController的checkPerssiom方法,访问控 ...

  4. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  5. java之jvm学习笔记六(实践写自己的安全管理器)

    安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用AccessController的checkPerssiom方法,访问控 ...

  6. Java 集合系列 08 Map架构

    java 集合系列目录: Java 集合系列 01 总体框架 Java 集合系列 02 Collection架构 Java 集合系列 03 ArrayList详细介绍(源码解析)和使用示例 Java ...

  7. Java 集合系列 02 Collection架构

    java 集合系列目录: Java 集合系列 01 总体框架 Java 集合系列 02 Collection架构 Java 集合系列 03 ArrayList详细介绍(源码解析)和使用示例 Java ...

  8. 【Java进阶面试系列之一】哥们,你们的系统架构中为什么要引入消息中间件?

    转: [Java进阶面试系列之一]哥们,你们的系统架构中为什么要引入消息中间件? **这篇文章开始,我们把消息中间件这块高频的面试题给大家说一下,也会涵盖一些MQ中间件常见的技术问题. 这里大家可以关 ...

  9. 【JAVA编码专题】JAVA字符编码系列一:Unicode,GBK,GB2312,UTF-8概念基础

    这两天抽时间又总结/整理了一下各种编码的实际编码方式,和在Java应用中的使用情况,在这里记录下来以便日后参考. 为了构成一个完整的对文字编码的认识和深入把握,以便处理在Java开发过程中遇到的各种问 ...

随机推荐

  1. 模拟--P1328 生活大爆炸版石头剪刀布 题解

    P1328 生活大爆炸版石头剪刀布 这也是打表么?? #include <iostream> using namespace std; static const auto y = []() ...

  2. 洛谷—— P1268 树的重量

    P1268 树的重量 构造类题目,看不出个所以然来... emmm,只好看题解: 只有两个点,那一条路径就是$ans$ 考虑三个点,那么$3$这个点相对于树上的路径(已经加入树上的边的距离) 为:$( ...

  3. NOIp2018 提高组初赛试题参考答案

  4. Linux 特殊指令总结(持续更新)

    Linux 命令 1. 查看系统信息 1.uname uname (1) - print system information uname (2) - get name and information ...

  5. Linux网络技术管理

    1. OSI七层模型和TCP/IP四层模型 1.1 osi 七层模型 Open System interconnection,开放系统互连参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系 ...

  6. 企业级监控nagios实践

    nagios 监控服务应用指南 小区:视频监控,保安 企业工作中为什么要部署监控系统 监控系统相当于哨兵的作用,监控几百台上千台服务器,监控系统非常重要. 监控系统都需要监控 1. 本地资源:负载up ...

  7. tomcat常见设置

    1.请求日志 tomcat 统一访问日志记录,添加请求响应时间 <Host name="localhost" appBase="webapps" unpa ...

  8. mq推送消息

    场景:BDM(实名制系统)同步数据到CRNS(实名制系统) 一,首先建个队列,队列名字为 bdm_empolyeeinfo_crns 二,applicationContext-rabbitmq.xml ...

  9. Leetcode 273.整数转换英文表示

    整数转换英文表示 将非负整数转换为其对应的英文表示.可以保证给定输入小于 231 - 1 . 示例 1: 输入: 123 输出: "One Hundred Twenty Three" ...

  10. 【HTML/XML 4】实例分析HTML和XML的不同

    导读:上回书说到,XML和HTML有着各自的不同点,综合表现在:1,HTML只是Web显示数据的通用方法,而XML提供了直接处理Web数据的通用方法.2,HTML着重描述Web页面的显示格式,而XML ...