java 安全管理器详解（1）

一、权限控制的最小单元java.security.Permission

可以把Permission理解为java安全的最小单元，是权限的抽象代表。通常一个Permission子类构造器会有两个参数，一个是目标的名称（对谁进行权限控制）；另外一个是对目标允许的操作（例如对一个文件读操作）。

Permission是一个抽象类，包含的方法如下：

abstract boolean equals(Object obj);
abstract String getActions(); 
abstract boolean implies(Permission permission);
PermissionCollection newPermissionCollection();

---

以其子类FilePermission（表示对文件权限）为例子，来说明具体的用法：
构造函数如下：

FilePermission(String path, String actions);

第一个参数即为权限控制的具体目标（path是文件或者目录的路径名）；第二个参数即为对文件的操作，多个操作用逗号分隔，允许的操作包括：

READ、WRITE、EXECUTE、DELETE

对D盘demo.txt文件允许的操作为读和删除，具体写法可为：

FilePermission fp = new FilePermission("D:/demo.txt","read,delete");

我们现在明白了，Permission用来描述一个具体的权限，那么接下来就有问题了，谁将拥有这个权限？

具体来说，我们定义好了一个权限，如：“对D盘demo.txt文件允许的操作为读和删除” 那么我们如何将这个权限授予一段代码？

二、如何将定义好的一个或多个权限授予一段代码（类）

首先来了解几个概念

1.保护域（protection domain）

意如其名，一块区域。即使是一块区域，那么一定有一些东西属于这个区域，一定有一些东西属性那个区域。
那么放在代码的世界中，也是说有一些代码（类）属于这块保护区，一些代码（类）属于另外一块保护区。

java可以对不同的保护区授予不同的权限，那么这块区域中的代码（类）就会拥有所在保护区的权限。

API的具体体现为：java.security.ProtectionDomain

2.代码源（CodeSource）

一定要能惟一地标识一段代码（类）以保证它的访问权限没有冲突。惟一标识属性共有两项：代码的来源（代码装载到内存所用的 URL）和代码的 signer 实体（由对应于运行代码的数字签名的一组公共密钥指定）

我们知道标识一个类在Java中的唯一性是根据：加载它的类加载器和该类本身

---

三、权限与保护域的具体实现

在java中，以类为单位，将不同的类分在不同的保护域。每个类加载器具有一个保护域，使用同一个类加载器加载的类在同一个保护域，也就是说具有相同的权限。

阅读java.security.ProtectionDomain源码，也能发现这个特征。ProtectionDomain类具有classloader属性：

/* ClassLoader the protection domain was consed from */
private ClassLoader classloader ;

同样ProtectionDomain类也包括该区域被授予的权限：

/* the rights this protection domain is granted */
private PermissionCollection permissions ;

下面跟着我来阅读类加载器（java.lang.ClassLoader）的部分源码：

默认保护域：

// The "default" domain. Set as the default ProtectionDomain on newly
// created classes.
private final ProtectionDomain defaultDomain =
    new ProtectionDomain(new CodeSource( null, (Certificate[]) null ),null , this , null);

new ProtectionDomain的第二个参数代表授予的权限集合，默认值为null。

类加载方法：

protected final Class <?> defineClass(String name , byte[] b , int off , int len,
                                     ProtectionDomain protectionDomain )
    throws ClassFormatError
{
    protectionDomain = preDefineClass(name , protectionDomain );

    Class c = null;
    String source = defineClassSourceLocation(protectionDomain );

    try {
        //本地方法加载类
        c = defineClass1( name, b, off, len, protectionDomain , source );
    } catch (ClassFormatError cfe ) {
        c = defineTransformedClass( name, b, off, len, protectionDomain , cfe ,
                                   source);
    }

    postDefineClass( c, protectionDomain );
    return c ;
}


private ProtectionDomain preDefineClass(String name,ProtectionDomain pd )
{
    if (!checkName(name ))
        throw new NoClassDefFoundError( "IllegalName: " + name);

    if ((name != null) && name.startsWith( "java." )) {
        throw new SecurityException
            ( "Prohibited package name: " +
             name.substring(0, name .lastIndexOf('.' )));
    }
    if (pd == null) {
        pd = defaultDomain ;
    }

    if (name != null) checkCerts( name, pd .getCodeSource());

    return pd ;
}

该方法的第五个参数为保护域，也就是说在手动加载类时可以自定义保护域。如果该参数为null，则使用默认保护域。

现在已经规定了不同类拥有不同的权限，那么由谁来监督类有没有越权呢？