Java安全(六) 动态代理

最新推荐文章于 2024-08-26 23:57:38 发布
最新推荐文章于 2024-08-26 23:57:38 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 从0到0.1的java安全 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WDWAGAAFGAGDADSA/article/details/121886126
版权

概念

代理模式Java当中最常用的设计模式之一 , 提供了对目标对象额外的访问方式 , 即通过代理对象访问目标对象.

举个例子 , 存在一个对象A , 但是开发人员不希望程序直接访问对象A , 而是通过访问一个中介对象B来间接访问对象A , 以达成访问对象A的目的。此时 , 对象A被称为 “委托类” , 对象B被称为 “代理类”

代理模式特征是代理类与委托类有同样的接口,代理类主要负责为委托类预处理消息、过滤消息、把消息转发给委托类,以及事后处理消息等。

Java的代理机制分为静态代理和动态代理。

静态代理示例讲解

JDK动态代理

JDK原生动态代理利用拦截器和反射来实现,JDK原生动态代理的核心API为如下两个类 。

java.lang.reflect.Proxy

java.lang.reflect.InvocationHandler

  • java.lang.reflect.Proxy:负责动态构建代理类

    该类的功能为 : 提供四个静态方法来为一组接口动态地生成的代理类并返回代理类的实例对象

    在这里插入图片描述

    getProxyClass(ClassLoader,Class<?>[] interfaces):获取指定类加载器和一组接口的动态代理类的类对象。

    newProxyInstance(ClassLoader,Class<?>[],InvocationHandler):指定类加载器,一组接口,调用处理器;

    isProxyClass(Class<?>):判断获取的类是否为一个动态代理类;

    getInvocationHandler(Object):获取指定代理类实例查找与它相关联的调用处理器实例;

  • java.lang.reflect.InvocationHandler:负责提供调用代理操作

    在这里插入图片描述

    该接口定义了一个 invoke() 方法 , 用于集中处理在动态代理类对象上的方法调用 . 当程序通过代理对象调用某一个方法时 , 该方法调用会被自动转发到 InvocationHandler.invoke() 方法来进行调用。

动态代理例子(看看怎么用)

接口类

package com.study.dy_proxy;

public interface test_inter {
    public void say();
}

委托类

package com.study.dy_proxy;

public class test_entrust implements test_inter {
    @Override
    public void say() {
        System.out.println("hello!");
    }
}

实现调用处理器的也称中介类

package com.study.dy_proxy;

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;

public class test_handler implements InvocationHandler {
    private Object target;//target为委托类对象

    public test_handler(Object target){
        this.target = target;
    }

    //实现invoke方法
    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        System.out.println("test proxy");
        Object result = method.invoke(target,args);
        return result;
    }
}

测试类

package com.study.dy_proxy;

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;

public class test {
    public static void main(String[] args) {
        test_entrust entrust = new test_entrust();

        //classloader
        ClassLoader classLoader = entrust.getClass().getClassLoader();

        //interfaces
        Class[] interfaces = entrust.getClass().getInterfaces();

        //调用处理器
        InvocationHandler invocationHandler = new test_handler(entrust);

        //代理对象
        test_inter proxy = (test_inter) Proxy.newProxyInstance(classLoader,interfaces,invocationHandler);
        proxy.say();
    }
}

从而成功实现

在这里插入图片描述

YSoSerial

ysoserial是集合了各种java反序列化payload的工具,关于该工具的分析

解密ysoserial

java.lang.reflect.Proxy

java.lang.reflect.Proxy类有个nativedefineClass0方法可实现动态创建类对象。

java.lang.reflect.Proxy类是通过创建一个新的Java类(类名为com.sun.proxy.$ProxyXXX)的方式来实现无侵入的类方法代理功能的。

需要注意以下技术细节和特点:

  • 动态代理的必须是接口类,通过动态生成一个接口实现类来代理接口的方法调用(反射机制)。
  • 该类继承于java.lang.reflect.Proxy并实现了需要被代理的接口类,因为java.lang.reflect.Proxy类实现了java.io.Serializable接口,所以被代理的类支持序列化/反序列化
  • 如果动过动态代理生成了多个动态代理类,新生成的类名中的0会自增,如com.sun.proxy.$Proxy0/$Proxy1/$Proxy2
  • 该类方法中包含了被代理的接口类的所有方法,通过调用动态代理处理类(InvocationHandler)的invoke方法获取方法执行结果。

动态代理类实例的序列化

动态代理生成的类在反序列化/反序列化时不会序列化该类的成员变量,并且serialVersionUID0L 也将是说将该类的Class对象传递给java.io.ObjectStreamClass的静态lookup方法时,返回的ObjectStreamClass实例将具有以下特性:

  1. 调用其getSerialVersionUID方法将返回0L
  2. 调用其getFields方法将返回长度为零的数组。
  3. 调用其getField方法将返回null

但其父类(java.lang.reflect.Proxy)在序列化时不受影响,父类中的h变量(InvocationHandler)将会被序列化,这个h存储了动态代理类的处理类实例以及动态代理的接口类的实现类的实例。

(学习java序列化和反序列化的时候再补补)

CyanM0un
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA安全基础之代理模式(一)
洋洋的小黑屋
06-24 115
JAVA安全基础之代理模式(一) 代理模式是java的一种很常用的设计模式,理解代理模式,在我们进行java代码审计时候是非常有帮助的。 静态代理 代理,或者称为 Proxy ,简单理解就是事情我不用去做,由其他人来替我完成。在黄勇《架构探险》一书中,我觉得很有意思的一句相关介绍是这么说的: 赚钱方面,我就是我老婆的代理;带小孩方面,我老婆就是我的代理;家务事方面,没有代理。 代理类与被代理...
Java反序列化基础篇-JDK动态代理
weixin_45536242的博客
07-08 98
先说说什么是代理模式,要说代理模式,得从代理说起。下面一张图中的中介,就是我们所说的代理。1. 静态代理简单理解静态代理想要实现租客找中介租房东,在 Java 中就需要4个文件,分别是房源、房东、中介、租客,其中房源应该是接口,其余三项为类。不明白房源为什么是接口的师傅,这与 Java 编程的设计思想有关,我个人也喜欢把它与 c++ 里面的纯虚函数做类比。可以移步至狂神的视频学习一下静态代理。Rent.java package src.JdkProxy.StaticProxy; // 租房的接口 publ
Java安全--篇三-动态代理
qq_64201116的博客
12-05 603
这个可以算是反射之后的下一步学习的东西吧,涉及到到的基础我们通过一个案例问题来引出动态代理:我们现在需要满足网站的三个功能:并且我们需要统计每个功能的执行程序所用的时间。首先编写一个接口来模拟三个功能: 然后编写一个实现类: 再定义一个测试类: 执行结果:以上就是典型的静态代理。如何解决这些问题呢?其实发现有冗余代码我们的目的肯定就是整合代码,使用类似函数的东西来实现重复代码的重合,就如下图所示:用伪代码实现起来就是这样: 我们希望这里的function可以是我们想要执行的任意方法,其实这个
3-java安全基础——jdk动态代理
网络安全
07-11 385
静态代理 什么是静态代理,假设现在有这样一个需求:要求在所有类的addUser方法前后添加打印日志。那么如何在不修改源代码的情况下完成需求? 通常做法是:为每一个目标类创建一个代理类,并让目标类和代理类实现同一个接口。在创建代理对象的时候通把目标对象传入构造中,然后在代理对象内部的方法中调用目标对象的方法前后输出日志。 静态代理实现: //同一接口 interface UserService { public void addUser(); } //目标类 class UserS
Javaweb安全——Java动态代理
weixin_43610673的博客
04-05 4212
Java 动态代理 Javajava.lang.reflect包下提供了一个Proxy类和InvocationHandler接口,可以生成JDK动态代理类或对象来完成程序无侵入式扩展(即不通过继承接口编写实现类来完成功能拓展)。 Java动态代理主要使用场景: 统计方法执行所耗时间。 在方法执行前后添加日志。 检测方法的参数或返回值。 方法访问权限控制。 方法Mock测试。 动态代理 Java的代理感觉是,给原来的操作前后加上了增强代码,像是类的包装。 静态代理通过编写一个代理类实现,如下面这个例子,
将反射的$Proxy的内容序列化到文件中
liuqianduxin的博客
11-07 192
1、 //wrappedInstance 代表动态代理返回的Proxy实例 byte[] proxyClass = ProxyGenerator.generateProxyClass(wrappedInstance.getClass() ....
一文带你搞懂Java动态代理
01-21
在说动态代理之前,先来简单看下代理模式。代理是最基本的设计模式之一。它能够插入一个用来替代“实际”对象的“代理”对象,来提供额外的或不同的操作。这些操作通常涉及与“实际”对象的通信,因此“代理”对象...
JAVA静态代理和动态代理
08-01
总结来说,Java的静态代理适用于代理类较少且代理逻辑相对固定的情况,而动态代理则在代理类数量不确定或者代理逻辑可能变化时更为合适。两者都可以实现为原始对象添加附加功能,但动态代理在灵活性和代码维护方面...
Java 动态代理Proxy应用和底层源码分析.pdf
04-16
### Java 动态代理Proxy应用和底层源码分析 #### 一、Java动态代理简介 Java动态代理是一种在运行时动态生成代理类的技术,通过该技术可以为一个或多个接口生成一个实现类,该实现类可以拦截接口方法的调用,并...
java反射和动态代理实例
04-04
Java反射和动态代理Java编程中的高级特性,它们在实际开发中有着广泛的应用。反射机制允许我们在运行时检查类、接口、字段和方法的信息,甚至能够动态调用方法和修改对象的状态。动态代理则是在运行时创建一个实现...
Java 反射-动态代理
04-26
Java反射和动态代理Java编程中的重要特性,它们在实现高度灵活和动态的代码执行上发挥着关键作用。本文将深入探讨这两个概念,以及如何在实际开发中利用它们。 首先,我们来理解Java反射(Reflection)。Java反射...
动态代理类(翻译)
oworkn的博客
08-13 905
原文: Dyanmic Proxy Classes介绍一个动态代理类是实现了多个接口存在于运行时的类,这样,一个动态代理类所实现的接口的方法的调用会被编译并且通过一个统一的接口分配给另一个对象。因此,一个动态代理类可以在不预先生成代理类的情况下创建一个类型安全又实现了多个接口的代理对象,就像使用compile-time工具。动态代理类对象的方法调用被分配给InvocationHandler的对象的一
JDK动态代理在反序列化中的应用
weixin_42974824的博客
08-14 174
JDK动态代理在反序列化中的应用
Java - 动态代理对象序列化
牧码的博客
05-28 1026
Proxy 对象是不能序列化的,就算能序列化也不能反序列化,因为proxy对象的类是动态生成出来的,序列化后,反序列化时目标JVM肯定没有加载过这个代理类。 有个变通的方法,就是获取到对象本身,序列化;反序列化后获取到原对象,再重新用代理包装即可获得反序列化后的代理对象了。不知道是否贴题。下面有个例子,虽然没有序列化和反序列化,但是基本实现了获取对象本身这个功能,希望能帮到你。 另外Groovy对象也是Java对象,应该仍然保持Groovy对象本身(个人理解,Groovy我也是略懂皮毛),Spring应
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 115
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 574
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
如何使用ssm实现模具制造企业订单跟踪管理系统+vue
a253399414的博客
08-26 487
【代码】ssm模具制造企业订单跟踪管理系统+vue
基于jenkins部署maven项目
静水深流
08-26 188
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
死锁及其产生条件
最新发布
秋夫人
08-26 159
死锁是指两个或多个线程(或进程)互相等待对方释放资源,导致所有相关线程都无法继续执行的情况。这是并发编程中的一个常见问题,可能会导致系统部分或完全停止响应。
Java反射与动态代理深度解析
"本课程详细介绍了Java的反射机制和动态代理技术,由讲师风中叶讲解,内容涵盖反射的基本概念、功能,以及动态代理的原理和实际应用。课程要求学员具备一定的Java泛型知识背景。" Java反射机制是Java语言的一项强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值