Java安全机制

已于 2024-07-28 19:10:28 修改
阅读量3.7k 收藏
点赞数
文章标签: java 安全 源码
于 2021-11-26 00:43:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FromZeroJiYuan/article/details/121551101
版权
Java的安全模型默认是不启用的,需要通过设置SecurityManager来激活。安全策略文件默认位于${JAVA_HOME}/jre/lib/security/java.policy,也可自定义。在启用安全模型后,常用API如AccessController的doPrivileged()方法用于进行权限检查,允许指定代码段在特权上下文中运行,免于权限检查。
摘要由CSDN通过智能技术生成

文章目录

启动

默认情况下,Java的安全模型是不启用的。为了使用Java的安全模型,需要通过初始化安全管理器(SecurityManager)来启用Java安全模型。

  • 编码式初始化SecurityManager
// 获取安全管理器,如果安全管理器未安装,则返回null
SecurityManager manager = System.getSecurityManager();
if (manager == null) {
  // 安装并初始化安全管理器
  System.setSecurityManager(new SecurityManager());
}
  • JVM启动参数初始化
-Djava.security.manager

没有安装安全管理器的情况下,调用System.getSecurityManager()返回的是null,即可根据 System.getSecurityManager() 返回结果是否为null来判断Java安全模型有没有启用

安全策略

当启用Java安全模式时,Java默认的安全策略文件为 ${JAVA_HOME}/jre/lib/security/java.policy

可以用JVM启动参数指定安全策略文件

-Djava.security.policy=/Users/developmac/workspace/develop/config/java.policy

使用

SecurityManager 提供了一系列供用户调用的API来做权限检查。SecurityManager的典型用法如下:

SecurityManager security = System.getSecurityManager();
if (security != null) {
    security.checkXXX(argument,  . . . );
}

一个文件读权限检查的例子

public class Test {
    public static void main(String ...args) throws Exception {
        if (System.getSecurityManager() == null) {
            System.setSecurityManager(new SecurityManager());
        }
        System.getSecurityManager().checkRead("foo.txt");
    }
}

结果

Exception in thread "main" java.security.AccessControlException: access denied ("java.io.FilePermission" "foo.txt" "read")
	at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
	at java.security.AccessController.checkPermission(AccessController.java:884)
	at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
	at java.lang.SecurityManager.checkRead(SecurityManager.java:888)
	at java.io.FileInputStream.<init>(FileInputStream.java:127)
	at java.io.FileInputStream.<init>(FileInputStream.java:93)
	at org.learn.agent.security.ReadFile.main(ReadFile.java:15)

java.security.AccessController#doPrivileged(java.security.PrivilegedAction)

AccessController引入了一个doPrivileged()静态方法,只要Caller执行了doPrivileged()方法(注意:这里的Caller还是需要相应权限,但是Caller的Caller就不需要了,如果不用doPrivileged()方法,调用链上所有的Caller都需要权限),那么这个Caller就会被标记为privilege,Java安全模型就不会去检查这个Caller的权限。也就是说,调用doPrivileged()的Caller被授予了特权,这个Caller可以免去权限检查。在进行权限检查的时候,回溯调用链的过程中,一旦遇到被标记为privilege的Caller,那么AccessController将停止向上回溯,权限检查通过。

参考:

AccessController.doPrivileged的作用
java中的安全模型(沙箱机制)

计缘FromZero
关注
Java核心-安全基础】Java安全机制
一个被IT搞的
01-13 1290
任何可以用来绕过系统安全策略限制的缺陷都是安全漏洞。 构建安全可靠的服务需要通过整体性的安全设计和综合性的防范手段。 Java安全机制 1. 运行时安全机制 字节码校验 类加载过程中,字节码验证,防止不合规的代码影响JVM运行或载入恶意代码。 如,自行编译String类替换JDK的String类就无法通过类加载。 Class Loader 隔离代码 应用无法获...
Java安全机制研究与分析
11-14
本文基于给定的文件信息,深入探讨Java安全机制的关键组成部分及其运作原理。 ### Java安全机制的体系结构 Java安全架构的核心在于其设计时就充分考虑了安全因素,而不是后期添加的。这一设计思路主要体现在以下三...
java安全管理器SecurityManager入门
weixin_30703911的博客
12-21 1522
一、文章的目的   这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。   比如在阅读源码的时候,发现这样的代码,想了解是做什么的: SecurityManager security = System.getSecurityManager(); if (security != null) { s...
System.getSecurityManager取值为null
weixin_41590284的博客
07-12 2519
今天写了个简单的File类测试 结果用到file.list()方法时,里面有个 SecurityManager security = System.getSecurityManager(); 的判断一直为空,导致list无法起效,特此立个帖子方便以后查找原因
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1571
  Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
JAVA安全机制
随手笔记
05-29 800
我现在做银行的一个平板电脑的客户端, 所有就写了这些东西! 我写了一个DES加密封装器,输入原文直接转换成DES加密后的密文。 但我想将密钥key包装成byte[]类型,getBinaryKey(Key k),有了点问题,无法获取。 请问各位大虾,问题出在哪了? 下面是两个类,第一个是对称加密器类,下一个是测试类,一行代码都不缺,可以直接运行 Java code
java 安全机制
07-12 670
为了达到安全性的目的,java 提供了一个用户可配置的“沙箱” 在沙箱中可以放置不可靠的Java程序。1.0中applet的活动限制1.对本地硬盘的读写2.进行任何网络连接,但补课连接到提供此applet的源主机3.创建新进程4.装载新的动态链接库 基本沙箱组件如下1.类装载器结
java线程中的安全机制_java线程安全 - 加锁机制
weixin_35381077的博客
02-26 173
多线程是我们在编程中必然会遇到的、非常基础、非常重要的知识。我们在编程时,头脑中,必须要有多线程的意识(高并发的意识)。虽然很基础,但是也有其难度。这篇博客,将简单介绍面对多线程时,加锁的处理方式。线程安全的定义多个线程之间的操作,无论采用何种执行时序或交替方式,都要保证不变性条件不被破坏。当多个线程访问某个类时,这个类始终都能表现出正确的行为,那么这个类是线程安全的。内置锁java的内置锁,相当...
Java安全机制
江城风情
08-31 2516
        Java 电脑语言在全球资讯网上的崛起,又使得在 Internet 上做生意的安全情况有了另外一个截然不同的注视焦点。在没有像 Java 这种电脑语言来写Internet 上的应用程式之前,全球资讯网上的交易主要是靠 HTML 之中的表格来进行的。         在使用这种表格填上信用卡的号码去购物之前,比较谨慎的浏览器都会提出一个不安全的警告信号,这主要是因为所有用 HTM
( Java安全机制的研究.pdf )
07-16
### Java安全机制的研究 #### 一、引言 随着计算机技术特别是互联网技术的快速发展,网络安全问题变得越来越重要。Java作为一种跨平台的语言,由于其强大的功能和广泛的适用性,在金融、在线商务、网络数据库等...
JDK6访问url安全策略补丁.7z
12-17
JDK6访问url存在着,安全策略问题,该补丁可以解决SSL解决方案,解决问题:解决 javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
JAAS灵活的Java安全机制
09-24
JAAS是Java安全模型的重要组成部分,它允许开发者构建安全的应用程序,满足不同级别的安全需求。 在JAAS中,认证(Authentication)是指验证用户身份的过程,而授权(Authorization)则是确定已认证的用户是否有权...
P神-Java安全漫谈
04-20
代码安全性:Java提供了强大的安全机制,如访问控制、类加载验证、沙箱模型等。这些机制确保代码在运行时不会执行恶意操作或访问未经授权的资源。 身份认证和访问控制:Java安全包括用户身份认证和授权机制,以确保...
java安全机制(一)
mls
06-10 677
java技术提供以下三种机制确保安全: 1、语言设计特性(对数组的边界进行检查,只进行合法的类型转换,无指针算法等) 2、访问控制机制,用户控制代码能够执行的功能(比如文件访问、网络访问等) 3、代码签名,利用该特性,代码的作者就能够用标准的加密算法来标明java代码的身份。这样,该代码的使用者就能准确的知道谁创建了该代码,以及代码被标识后是否被修改过。 java虚拟机负责...
java 的 AccessController.doPrivileged使用
weixin_34129696的博客
01-15 548
AccessController.doPrivileged意思是这个是特别的,不用做权限检查. 在什么地方会用到呢:加入1.jar中有类可以读取一个文件,现在我们要使用1.jar去做这个事情.但是我们的类本生是没有权限去读取那个文件的,一般情况下就是眼睁睁的看着了.   但是jiava提供了doPrivileged.在1.jar中如果读取文件的方法是通过doPrivileged来实现的...
JAVA.SECURITY.POLICY 配置说明
ywb201314的专栏
10-31 3222
众所周知,Java语言具有完善的安全框架,从编程语言,编译器、解释程序到Java虚拟机,都 能确保Java系统不被无效的代码或敌对的编译器暗中破坏,基本上,它们保证了Java代码按预定的规则运作。但是,当我们需要逾越这些限制时,例如,读 写文件,监听和读写Socket,退出Java系统等,就必须使用数字签名或安全策略文件(*.Policy)。 在企业内部网中,本文提出了使用安全策略文件来设置
java安全机制的理解
keep_moving_cqu的专栏
05-11 4352
Java安全模式包括3层:Java语言本身,java编译器和run-time系统,SecurityManager类。 在语言层,java以不同的方式来实现它的安全性,什么原始类型的大小,对象的指针和伪访问将不再呗允许,数组辩解检查等待。 在java编译器和run-time系统安全层提供了必要的功能,以确保java系统不会因无效代码而崩溃,它提供了一个简单的由一下三个子层所组成的安全的运行环境
JDK中Applet的安全性策略探究
Haiwi-Song
05-03 2295
众所周知,通过浏览器访问Applet存在安全漏洞,jdk1.6及更早的一些版本一直存在这些问题,为了解决Applet的安全漏洞问题,在jdk1.7陆续发布了几个用于修补安全漏洞的jdk版本。相关版本更新简图如下: 一、 jdk1.7 update21版本 详情链接: 英文:https://blogs.oracle.com/java/entry/java_se_7_update_2
Java-网络
最新发布
2301_81543552的博客
09-14 812
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
所以说,Java程序虽然默认存在安全管理员,但是默认却不会启用,因此默认情况下通过System.getSecurityManager()方法是无法获取到安全管理员的是吗?
06-03
是的,Java程序虽然默认存在安全管理员,但是默认情况下不会启用安全管理器。因此,如果在程序中调用System.getSecurityManager()方法,通常会返回null,表示当前程序没有安装安全管理器。 需要注意的是,如果需要启用安全管理器,必须在程序中显式地安装安全管理器,并为程序分配相应的权限或许可。通常可以通过以下代码来安装安全管理器: ``` System.setSecurityManager(new SecurityManager()); ``` 上述代码中,通过调用System.setSecurityManager()方法来安装安全管理器,并将其设置为程序默认的安全管理器。在安装安全管理器之后,可以为程序分配相应的权限或许可,以确保程序的安全性和稳定性。 需要注意的是,安全管理器是Java程序的可插拔式组件,程序可以自行实现并安装自定义的安全管理器。通常情况下,自定义的安全管理器会根据具体的应用场景和安全需求来实现相应的权限控制和访问限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值