如何防止单例模式被JAVA反射攻击

最新推荐文章于 2025-09-15 22:27:57 发布
原创 最新推荐文章于 2025-09-15 22:27:57 发布 · 1.9w 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#singleton #java #反射 

欢迎支持笔者新作:《深入理解Kafka:核心设计与实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。

欢迎跳转到本文的原文链接:https://honeypps.com/java/how-to-prevent-singleton-from-reflect/

    单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:

 

package com.effective.singleton;

public class Elvis
{
    private static boolean flag = false;

    private Elvis(){
    }

    private  static class SingletonHolder{
        private static final Elvis INSTANCE = new Elvis();
    }

    public static Elvis getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}

    但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。
    这里举个例子,通过JAVA的反射机制来“攻击”单例模式:

package com.effective.singleton;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

public class ElvisReflectAttack
{

    public static void main(String[] args) throws InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException
    {
        Class<?> classType = Elvis.class;

        Constructor<?> c = classType.getDeclaredConstructor(null);
        c.setAccessible(true);
        Elvis e1 = (Elvis)c.newInstance();
        Elvis e2 = Elvis.getInstance();
        System.out.println(e1==e2);
    }

}

   运行结果:false
   可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。
   如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。
   经修改后:

package com.effective.singleton;

public class ElvisModified
{
    private static boolean flag = false;

    private ElvisModified(){
        synchronized(ElvisModified.class)
        {
            if(flag == false)
            {
                flag = !flag;
            }
            else
            {
                throw new RuntimeException("单例模式被侵犯!");
            }
        }
    }

    private  static class SingletonHolder{
        private static final ElvisModified INSTANCE = new ElvisModified();
    }

    public static ElvisModified getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}

    测试代码:

package com.effective.singleton;

import java.lang.reflect.Constructor;

public class ElvisModifiedReflectAttack
{

    public static void main(String[] args)
    {
        try
        {
            Class<ElvisModified> classType = ElvisModified.class;

            Constructor<ElvisModified> c = classType.getDeclaredConstructor(null);
            c.setAccessible(true);
            ElvisModified e1 = (ElvisModified)c.newInstance();
            ElvisModified e2 = ElvisModified.getInstance();
            System.out.println(e1==e2);
        }
        catch (Exception e)
        {
            e.printStackTrace();
        }
    }
}

    运行结果:

Exception in thread "main" java.lang.ExceptionInInitializerError
    at com.effective.singleton.ElvisModified.getInstance(ElvisModified.java:27)
    at com.effective.singleton.ElvisModifiedReflectAttack.main(ElvisModifiedReflectAttack.java:17)
Caused by: java.lang.RuntimeException: 单例模式被侵犯!
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:16)
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:7)
    at com.effective.singleton.ElvisModified$SingletonHolder.<clinit>(ElvisModified.java:22)
    ... 2 more

    可以看到,成功的阻止了单例模式被破坏。
    从JDK1.5开始,实现Singleton还有新的写法,只需编写一个包含单个元素的枚举类型。推荐写法:

package com.effective.singleton;

public enum SingletonClass
{
    INSTANCE;

    public void test()
    {
        System.out.println("The Test!");
    }
}

    测试代码:

package com.effective;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

import com.effective.singleton.SingletonClass;

public class TestMain
{

    public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException
    {
        Class<SingletonClass> classType = SingletonClass.class;
        Constructor<SingletonClass> c = (Constructor<SingletonClass>) classType.getDeclaredConstructor();
        c.setAccessible(true);
        c.newInstance();
    }
}

    运行结果:

Exception in thread "main" java.lang.NoSuchMethodException: com.effective.singleton.SingletonClass.<init>()
    at java.lang.Class.getConstructor0(Unknown Source)
    at java.lang.Class.getDeclaredConstructor(Unknown Source)
    at com.effective.TestMain.main(TestMain.java:22)

    由此可见这种写法也可以防止单例模式被“攻击”。
    而且这种写法也可以防止序列化破坏单例模式,具体不在举例了,有关序列化以及单例模式被序列化破坏可以参考博文《JAVA序列化》(链接:http://blog.csdn.net/u013256816/article/details/50474678)。
    单元素的枚举类型已经成为实现Singleton模式的最佳方法。

欢迎跳转到本文的原文链接:https://honeypps.com/java/how-to-prevent-singleton-from-reflect/

欢迎支持笔者新作:《深入理解Kafka:核心设计与实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。

Java 中的设计模式:单例模式与工厂模式解析
shrgegrb的博客
03-12 1218
单例模式确保一个在整个应用程序生命周期内仅有一个实例,并提供一个全局访问点。数据库连接管理线程池配置管理日志管理工厂模式是一种创建型设计模式,它通过封装对象创建逻辑,避免在代码中直接使用new关键字,提高代码的灵活性和可维护性。简单工厂模式(Simple Factory)工厂方法模式(Factory Method)抽象工厂模式(Abstract Factory)
Java设计模式-单例模式
hkl_Forever的博客
04-08 288
【3】存在的问题:JVM可能对(分配内存空间、初始化对象、赋值)进行指令重排序打乱顺序,导致其他线程在第一次判空时看到 instance!【2】instance = new Singleton():实例化对象分为3个阶段:分配内存空间、初始化对象(调用构造函数)、将变量instance指向内存地址。【1】线程安全:JVM 保证枚举实例的初始化是线程安全的(静态块加载)【3】防序列化破坏:枚举的序列化机制天然保证反序列化时不会生成新实例。【2】防反射攻击Java 禁止通过反射创建枚举实例。
单例模式以及防止反射破坏
qq_40262372的博客
09-01 1271
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子继承。 .
单例+反射模式
m0_75280915的博客
08-24 257
单例模式+反射模式
单例模式Singleton Pattern)
祯的博客
09-15 1380
单例模式是一种设计模式,确保一个只有一个实例,并提供全局访问点。本文介绍了单例模式的两种实现方式:饿汉模式和懒汉模式。饿汉模式在程序启动时就创建实例,线程安全但可能浪费资源;懒汉模式在首次调用时创建实例,C++11后线程安全且更节省资源。文章详细解析了两种模式的代码实现、核心特点及适用场景,并对比了它们的优缺点。单例模式适用于需要全局唯一对象的场景,如配置管理、线程池等。建议根据实际需求选择实现方式,确保代码效率和安全性。
java 反射 单例_java单例模式详解完美实现(包括反射破坏的防止和线程安全)
weixin_33421065的博客
02-16 566
一.描述Singleton(单例)是设计模式的一种,为了保证一个仅有一个实例,并提供一个访问它的全局访问点。主要用途是保证某个很占系统资源的,在同一时间只能拥有一个的情况。例如:一个系统中可以存在多个打印任务,但是只能有一个正在工作的任务;一个系统只能有一个窗口管理器或文件系统;一个系统只能有一个计时工具或ID(序号)生成器。二.单例模式的主要特点:1.某个只能有一个实例;2.必须自行创建这...
java单例接口_JAVA单例模式
weixin_29876341的博客
02-13 937
一.问题引入偶然想想到的如果把Java的构造方法弄成private,那里面的成员属性是不是只有通过static来访问呢;如果构造方法是private的话,那么有什么好处呢;如果构造方法是private的话,会不更好的封装该内呢?我主要是应用在使用普通模拟枚举型里,后来发现这就是传说中的单例模式。构造函数弄成private 就是单例模式,即不想让别人用new 方法来创建多个对象,可以在里面先生...
Java设计模式之单例模式以及如何防止通过反射破坏单例模式
weixin_51311741的博客
12-22 2107
​ 什么是单例模式?保障一个只能有一个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具!(一种做法,所有的方法都是static,还有一种单例模式让工具只有一个实例) 某工厂(SqlSessionFactory)
深入理解java设计模式之单例模式
忆亦何为的博客
06-12 2382
单例模式确保一个在应用程序中只有一个对象实例存在,并提供一种全局访问该实例的方式。
反射破坏单例模式以及怎样防御
小灰狼与大白兔的博客
12-05 7701
先贴几个比较全的java反射博客 Java反射:用最直接的大白话来聊一聊Java中的反射机制 Java基础之—反射(非常重要) Java反射技术详解 前面介绍的单例模式的实现方式: 设计模式之单例模式 单例模式的设计在于只保留一个公有静态函数来获取唯一的实例,其他方法(构造函数)或字段为私有,外界不能访问。 而java反射则突破了构造函数私有的限制,可以获取单例的私有构造函数并使用。 //得到该在内存中的字节码对象 Class objectClass = Class.forName("com.xt
Java线程安全中的单例模式
09-03
在大多数情况下,枚举实现被认为是更推荐的选择,因为它在保证线程安全的同时,也提供了更好的封装性和防止反射攻击的能力。然而,如果对单例的使用有特殊需求,如需要延迟初始化或插件化,那么静态内部的实现方式...
设计模式--单例模式反射
wBkvam
08-02 924
单例模式 这种模式涉及到一个单一的,该负责创建自己的对象,同时确保只有单个对象被创建。这个提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该的对象。 注意: 单例模式只能有一个实例 单例必须自己创建自己的唯一实例 单例必须给所有其他对象提供这一实例 介绍 意图: 保证一个仅有一个实例,并提供一个访问它的全局访问点。 主要解决: 一个全局使用的频繁地创建与销毁。 何时使用: 当您想控制实例数目,节省系统资源的时候。 如何解决: 判断系统是否已经有这个单例,如果有则返回,如果没有
JAVA反射机制与单例模式
10-29
理解JAVA反射机制的原理,作用;掌握反射机制的应用;单例模式程序的编写步骤与注意问题
java 反射 单例_单例模式(4种),反射
weixin_36269334的博客
02-16 509
单例模式:这种模式叫做 “饿汉式” 单例设计模式步骤:1:私有的无参构造方法2:内部定义一个 私有的 静态的 型本身的对象,并且直接使用无参构造初始化3:提供一个公开的,静态的,成员方法,返回第二步中创建的对象默认自带一种好处,线程安全的public class MyRuntime {private String name;private int age;private static MyRun...
DCL(双重锁定检查)中Volatile的作用,如何防止反射实例化单例对象
SunshineBoy的博客
09-08 701
介绍DCL单例模式之前,我们先了解一下volatile关键字: Volatile修饰符修饰的变量在编译器编译时确保本条指令不会因编译器的优化而省略。 主要特征: 保证了不同线程同时对变量修改时实时可见性,即一个线程修改了该变量,其他线程实时可见; 禁止指令重排序(尤为重要); DCL单例指令流程: 为对象分配内存; 初始化实例对象; 为对象的引用分配内存; 由于JVM为了优化指令,提高程序运行效率,允许指令重排序,如果JVM优化指令为1、3、2顺序执行,那么多线程同时执行任务时,如果指令3刚好
单例模式详解及使用反射破坏单例(每日很“刑”小技巧)
weixin_57316880的博客
08-07 996
单例模式Singleton Pattern)是 Java 中最简单的设计模式之一。这种型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。这种模式涉及到一个单一的,该负责创建自己的对象,同时确保只有单个对象被创建。这个提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该的对象,构造器私有是其重要的特点之一。主要有饿汉模式,DCL懒汉式,内部,枚举等实现方式!......
单例模式的实现方式及如何有效防止防止反射和反序列化
feelinghappy的专栏
08-23 1115
方式一:饿汉式(静态常量) public class Singleton { private final static Singleton SINGLETON = new Singleton(); private Singleton(){ } public void doAction(){ //TODO 实现你需要做的事 } public static Singleton getInstance(){
java防止反射破坏单例模式
vasonyang随记
05-07 4066
我们都知道单例模式是为了实现只创建一个实例,但是java反射机制可以破坏这种单例模式,这种通过反射来破坏单例的例子网上多的是,我就不列出来了,今天我们来说说怎么防止使用java反射机制来破坏单例,查了查网上有很多是在单例的中增加一个boolean型的flag,然后在构造函数中来改变flag的值,然后再调用构造函数的时候判断这个flag是否已经改变了,这样来防止重复创建对象实例,当看到这种...
Java设计模式(一):单例模式防止反射和反序列化漏洞
Happy in Code
05-22 8613
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
如何防止单例模式反射和序列化破坏?
最新发布
09-16
防止 Java 单例模式反射和序列化破坏,可采用以下方法: ### 防止反射破坏单例 在单例的私有构造函数中添加检查逻辑,若实例已存在,则抛出异常,阻止通过反射创建新实例。示例代码如下: ```java public class BestLazyInnerClassSingleton { private BestLazyInnerClassSingleton() { if (LazyHolder.LAZY != null) { throw new RuntimeException("不允许创建多个实例"); } } public static final BestLazyInnerClassSingleton getInstance() { return LazyHolder.LAZY; } private static class LazyHolder { private static final BestLazyInnerClassSingleton LAZY = new BestLazyInnerClassSingleton(); } } ``` 此方式兼顾了饿汉式单例模式的内存浪费和 `synchronized` 的性能问题,能有效防止反射破坏单例[^4]。 ### 防止序列化破坏单例 在单例中重写 `readResolve()` 方法,使其返回单例实例,避免反序列化时创建新对象。示例代码如下: ```java import java.io.Serializable; public class Singleton implements Serializable { private static final long serialVersionUID = 1L; private static volatile Singleton instance; private Singleton() { if (instance != null) { throw new RuntimeException("请使用getInstance()方法获取实例"); } } public static Singleton getInstance() { if (instance == null) { synchronized (Singleton.class) { if (instance == null) { instance = new Singleton(); } } } return instance; } protected Object readResolve() { return getInstance(); } } ``` 通过重写 `readResolve()` 方法,可确保反序列化时返回的是原单例实例,防止序列化破坏单例[^2]。 ### 枚举方式 使用枚举实现单例模式能天然防止反射和序列化破坏,示例代码如下: ```java enum Singleton { INSTANCE; public void doSomething() { // 具体业务逻辑 } } ``` 枚举方式在写法、线程安全,以及避免序列化、反射攻击上都有优势[^2]。
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值