关于Java SecurityManager

最新推荐文章于 2024-04-11 16:09:46 发布
最新推荐文章于 2024-04-11 16:09:46 发布
阅读量7.6k 收藏 1
点赞数 1
分类专栏: coreJava_JDK类库解读和笔记 文章标签: java application security command weblogic file

11月28日
关于Java SecurityManager

最近看到一道题问:

Which five statements about SecurityManager are true?(Choose five.)
A. The SecurityManager must be instantiated to use RMI. 
B. The SecurityManager can be discarded after loading.
C. The SecurityManager can be configured from a per-user file.
D. The SecurityManager can be configured from a system-wide file.
E. The SecurityManager can be installed in the application code.
F. The SecurityManager can be installed from the command line.
G. The SecurityManager can be configured from a file specified on the common line.  

这是一个安全方面的问题。题中提到的SecurityManager实际上指的是java.lang.SecurityManager。

SecurityManager是一个Java类(Java 1.2以前是一个抽象类),应用程序可以通过它实现一个安全策略。它允许应用程序在调用可能的不安全的或是敏感的操作前检查这个操作到底是什么;以及它在当前的上下文中是否被允许运行。

我们可以通过如下方法获得当前的SecurityManager:

SecurityManager security = System.getSecurityManager();

同样,我们也可以付给当前一个新的SecurityManager:

SecurityManager sm = new SecurityManager();

System.setSecurityManager(sm);

但前提是上一个SecurityManager允许我们创建一个新的来取代他,这个定义在java.policy文件中:

permission java.lang.RuntimePermission "createSecurityManager";

默认的java.policy文件中似乎没有该项。

好了,说了这么多废话,现在我们切入正题:到底哪5个答案是对的呢?我们来一个一个分析。<<其实这个题的答案是我从题库中找来的,回过头来看看我的分析,感觉有些不对劲,似乎是题库的答案错了。下面的黑体字是我认为正确的答案!>>

A. The SecurityManager must be instantiated to use RMI.

我英语水平有限,这个"to use RMI"是“用RMI来实例化SecurityManager”还是“为了使用RMI而实例化SecurityManager”的意思呢?不管是哪个,都是不正确的。使用RMI实例化SecurityManager就是胡扯。而SecurityManager的确有一个关于RMI的子类,叫RMISecurityManager。它是用于RMI从远程下载代码的。没有安装这个类的实例,RMI是不会干活的。尽管这样,A也是不对的。 <<既然没有SecurityManager,RMI就不能正常下载远程代码,那我觉得这个选项就是对的——SecurityManager必须被实例化以用来使用RMI>>

B. The SecurityManager can be discarded after loading.

关于这个选项我是这样理解的:SecurityManager一旦被加载了就不能被抛弃,只能被一个新的所覆盖。而具体能不能覆盖也还要看当前SecurityManager的脸色。所以我认为这个选项也是不对的。

这下,剩下的选项就都是对的了,我们来一个一个分析:

C. The SecurityManager can be configured from a per-user file.

哈哈,关于这个选项的实例我还没有找到,等找到了再写在这里,我相信SecurityManager有这么“强大”的功能:P <<既然找不到例子,就等于说这个选项是不对的!>>

D. The SecurityManager can be configured from a system-wide file.

也就是说SecurityManager可以用一个系统中的文件进行配置,而不只是${Java_Home}/jre/lib/security/java.policy文件。一个例子是我们可以使用-Djava.security.policy=或是-Djava.security.policy==来指定策略文件的位置,其中=表示这个策略文件将和默认的策略文件一同发挥作用;==表示只使用这个策略文件。

E. The SecurityManager can be installed in the application code.

下面就是一段这样的代码:

SecurityManager sm = new SecurityManager();
System.setSecurityManager(sm);
if (sm != null) {
Permission p = new FilePermission("/temp/*", "write");
System.out.println(p.getActions());
sm.checkPermission(p); 
}

在某些J2EE Server的配置文件中也可以配置安全策略,如:

      <weblogic-enterprise-bean>
  <!-- webLogic enterprise bean statements go here -->
  </weblogic-enterprise-bean>
  <security-role-assignment>
  <!-- the optional security role assignments go here -->
  </security-role-assignment>
  <security-permission>
  <description>
  grant permission to special folder
  </description>
  <security-permission-spec>
  grant {
  permission java.io.FilePermission "D:/temp", "read";
        };
      <security-permission-spec>
      <security-permission>

F. The SecurityManager can be installed from the command line.

命令如下:

-Djava.security.manager=org.faquir.MySecurityManager

G. The SecurityManager can be configured from a file specified on the common line.

这个例子也就是D中提到的那个。

OK,这个题的答案就是C、D、E、F、G。 <<所以,改正后的答案是A、D、E、F、G>>

 

 

转自:http://yichen914.spaces.live.com/blog/cns!723590D920FAF62B!630.entry

 

备注:关于答案,我认同是C 、D、E、F、G;  RMISecurityManager是为了RMI创建实例化才对;

biexf
关注
专栏目录
AndroidSecurityManager:Android安全性应用
04-29
Android_Umpt Android 手机卫士 保护伞 UMbrellaProTection 暑假和同学做的巨坑的项目,属于那种自己装上用了用都想删的坑,事实上我已经删了 但是毕竟自己想出来的题目,这辈子也许会填坑的 (:з」∠)
JavaSecurityManager安全管理器
we.think
10-19 3240
目录一、 启停安全管理器1.1 启用1.2 关闭二、安全策略2.1 默认配置2.2 策略准则三、SecurityManager3.1 概要描述3.2 方法摘要3.3 使用 SecurityManager是一个允许应用实现一种安全策略的类。应用在执行一个安全或敏感的操作之前,可以明确此操作是否在一个安全的上下文中被执行。 一、 启停安全管理器 1.1 启用 系统启动开启 JVM参数:-Djava.security.manager 当运行一个程序,可以指定JVM命令-Djava.security.manage
java 的安全管理器
sinat_35814207的博客
11-11 3855
安全管理器 SecurityManager 基本原理和使用方法 SecurityManager Policy 文件 AccessController java安全管理器概念 java安全管理器允许一个程序设置一个安全策略,通过安全策略来保证敏感信息的操作,限制应用程序可以做什么,不能做什么。 使用SecureClassLoader 的类加载器会去加载这个安全策略文件,CodeSource指的是代码的位置 权限配置 所以,由于路径的变化,低版本合高版本权限可能不兼容 启动方式 参数启动: -Djav
线程类api详解
杨坤的博客
03-23 834
目录 1.构造器 先看看线程类的构造器 2线程优先级 3守护线程 4钩子线程 5异常处理 6.其他方法 1.构造器 先看看线程类的构造器 选个方法最多的看看 public Thread(ThreadGroup var1, Runnable var2, String var3, long var4) { this.init(var1, var2, var3, var4); } 1.ThreadGroup 线程组,就是线程可以编组,组上又可以编组
【JVM与性能调优】Java中的安全管理器SecurityManager入门介绍
本本本添哥
04-09 2932
通过SecurityManager,可以限制Java应用程序对以下资源的访问:文件系统:包括读、写、执行等操作。网络:包括建立连接、发送和接收数据等操作。反射:包括调用私有方法、修改final字段等操作。类加载器:包括设置类加载器、定义安全上下文等操作。
securesm:解决Java中设计缺陷的SecurityManager实现
04-29
`SecurityManager`是Java提供的一种机制,用于增强应用程序的安全性,它允许开发者实施细粒度的权限控制,防止恶意代码对系统资源进行未经授权的访问。然而,由于历史原因,`SecurityManager`在某些情况下可能存在...
浅谈shiro的SecurityManager类结构
08-29
Apache Shiro 是一个强大且易用的 Java 安全框架,提供认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在 Shiro 中,`SecurityManager` 是核心组件,它负责整个安全体系的管理和协调工作。本文将深入...
dappFinance#Note#【Java多线程】安全管理器SecurityManager1
07-25
创建安全管理器利用安全管理器public static void main(String args[]){方法调用此方法时,返回所有新创建的线程实例化后所在的线
JAVA入门.docx
12-30
* 安全性:Java 语言提供了一个安全机制以防恶意代码的攻击,包括类 ClassLoader、SecurityManager 等。 * 体系结构中立性:Java 程序在 Java 平台上被编译为体系结构中立的字节码格式,然后可以在实现这个 Java ...
SecurityManager使用
05-29
Java编程语言中,`SecurityManager`(安全管理器)是一个重要的安全组件,它允许开发者对应用程序的安全性进行精细控制。`SecurityManager`是Java虚拟机(JVM)的一部分,用于实施一套安全策略,以防止代码执行...
Java安全管理器-SecurityManager
最新发布
sunyingboaini的博客
04-11 2236
SecurityManagerJava中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
Java原生安全管理器——SecurityManager
Judy的博客
10-18 611
Java安全管理器(SecurityManager)是Java安全模型的核心组件,它负责检查程序运行时是否违反了安全策略。如果违反了安全策略,安全管理器会抛出一个SecurityException异常,阻止程序继续执行。
Java安全管理器——SecurityManager
一只小棉花的博客
10-19 6010
原文出处:http://bubuko.com/infodetail-306759.html 转自:https://blog.csdn.net/okjxp/article/details/78581599 总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是J...
关于Java SecurityManager的用途以及使用方法
weixin_45735347的博客
07-04 720
为了让我们的程序在运行时private类也不可以被访问,我们就需要使用安全管理器(SecurityManager)通过以上代码,我们就可以调用AccessTest 中的私有方法multiple,显然这是不应该被允许的。众所周知,java中被设置了private的属性以及方法是不能被类本身外的其他类调用的。在了解安全管理器的用途前,先看以下前言,这会帮助你更好的理解它的作用。但是如果在运行状态下我们便可以实现对private的属性或方法的访问。当然,java有自带的默认政策文件,在以下目录下。
java的安全管理器_java安全管理器SecurityManager入门
weixin_33246707的博客
02-12 505
一、文章的目的这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。比如在阅读源码的时候,发现这样的代码,想了解是做什么的:SecurityManager security =System.getSecurityManager();if (security != null) {security.checkWrite(name...
SecurityManager
浩子的博客
03-09 7219
每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意代码,此
Shiro框架:Shiro SecurityManager安全管理器解析
博客园
01-13 1793
​Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,在前述文章全面解析Shiro框架原理的基础之上,详见:Shiro框架:ShiroFilterFactoryBean过滤器源码解析-CSDN博客、Shiro框架:Shiro内置过滤器源码解析-CSDN博客,本篇文章继续深入解析Shiro SecurityManager安全管理器的结构和功能。
Java:SecurityManager 安全管理器SecurityPermission的使用
Mr_rain的专栏
04-08 5255
关于SecurityManager的细节本文章不做介绍,主要聚集在场景搭建以及核心流程的代码跟踪,理解其设计思路。 场景搭建 主要验证System.getSecurityManager().checkSecurityAccess(“a.b.c”)的三个场景: 与MainClass在同一个module 与MainClass在不同的module 在另一个jar包中 分别新增A、B、C、SecurityManagerTest四个类: Class Position Describe A m
Shiro初识HelloWorld
GaoChenXi
07-07 387
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一
java securitymanager_Java中打开SecurityManager的方法
05-26
Java中,SecurityManager是一个重要的安全机制,用于保护Java应用程序免受恶意代码的攻击。默认情况下,Java应用程序没有启用SecurityManager,但是可以通过以下步骤打开: 1. 创建一个新的SecurityManager对象: ``` SecurityManager sm = new SecurityManager(); ``` 2. 将SecurityManager对象设置为当前应用程序的安全管理器: ``` System.setSecurityManager(sm); ``` 这将启用SecurityManager并将其设置为Java应用程序的默认安全管理器。接下来,您可以使用SecurityManager来设置各种安全策略和权限控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值