Java之SecurityManager安全管理器

已于 2023-05-07 14:39:47 修改
阅读量5.6k 收藏 9
点赞数 5
分类专栏: java 文章标签: java 安全
于 2022-01-08 21:39:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iflink/article/details/122386983
版权

目录

SecurityManager是一个允许应用实现一种安全策略的类。应用在执行一个安全或敏感的操作之前,可以明确此操作是否在一个安全的上下文中被执行。

一、 启停安全管理器

1.1 启用

  1. 系统启动开启
    JVM参数-Djava.security.manager
    当运行一个程序,可以指定JVM命令-Djava.security.manager开启SecurityManager功能,这是打开SecurityManager最常见的方式。
    可以使用-Djava.security.policy指定策略文件路径。

  2. 程序手动开启

    // 创建SecurityManager实例
SecurityManager securityManager = new SecurityManager();
// 设置启动
System.setSecurityManager(securityManager);

注意:你可能会认为,使用System.setProperty(“java.security.manager”)也能打开SecurityManager,但这种方式并不会生效。原因就是,系统属性是在当JVM启动时进行检查的,在JVM完全启动之后,程序手动设置的系统属性,并不能奏效,因为已经不在对系统属性进行检查了。

1.2 关闭

如果想要关闭SecurityManager,该怎么做? 下面的代码能做到吗?

SecurityManager sm=System.getSecurityManager();
if(sm!=null){
    System.setSecurityManager(null);
}

注意:只有在位于${JDK_HOME}/jre/lib/security目录下或其他指定目录下的java.policy文件中指定了一个权限(permission java.lang.RuntimePermission "setSecurityManager")才会奏效。

二、安全策略

2.1 默认配置

默认的安全管理器配置文件是$JAVA_HOME/jre/lib/security/java.policy,即当未指定配置文件时,默认使用该配置文件。

// 授权基于路径在"file:${{java.ext.dirs}}/*"下的class和jar包,所有权限。
grant codeBase "file:${{java.ext.dirs}}/*" {
        permission java.security.AllPermission;
};
grant {
        // permission: 许可
        // java.lang.RuntimePermission: 校验权限类
        // stopThread: 校验项
        permission java.lang.RuntimePermission "stopThread";
        
        // 允许监听端口
        permission java.net.SocketPermission "localhost:0", "listen";

        // permission for standard RMI registry port
        // 允许监听标准RMI注册表端口
        permission java.net.SocketPermission "localhost:1099", "listen";
        
        // 允许读取通过Sytem.getProperty("java.version")读取属性值
        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};

2.2 策略准则

在启用安全管理器的时候,配置遵循以下基本原则

  1. 没有配置的权限,表示没权限
  2. 只能配置允许权限,没有禁止权限可以配置
  3. 同一种权限可多次配置,取并集
  4. 统一资源的多种权限可用逗号分割

默认配置文件解释
第一部分授权:授权基于路径在file:${{java.ext.dirs}}的class和jar包所有权限。

grant codeBase "file:${{java.ext.dirs}}/*" {
    permission java.security.AllPermission;
};

第二部分授权:这是细粒度的授权,对某些资源的操作进行授权。

grant { 
    permission java.lang.RuntimePermission "stopThread";
}

补充:当批量配置的时候(如:第一部分授权),有三种模式

  • directory/:表示directory目录下的所有.class文件,不包括.jar文件
  • directory/*:表示directory目录下的所有的.class.jar文件
  • directory/-:表示directory目录下的所有的.class.jar文件,包括子目录

可以通过${}来引用系统属性,如: “file:${{java.ext.dirs}}/*”

三、SecurityManager

3.1 概要描述

SecurityManager类包含许多以check开头命名的方法。java库中的各种方法在执行一些敏感的操作时,可以调用这些方法。

SecurityManager security = System.getSecurityManager();
if (security != null) {
	security.checkXXX(argument);
}

SecurityManager通过抛出异常(SecurityException)阻止没有权限操作的完成,唯一的例外就是checkTopLevelWindow方法返回boolean值,但是已经弃用。

Java2 SDK v1.2开始,SecurityManager中其他check方法底层是调用SecurityManager#checkPermission方法来确定调用线程是否具有执行请求操作的权限。

注意,只有一个权限参数的checkPermission方法总是在当前执行线程的上下文中执行安全检查。 有时,需要在特定上下文中进行安全检查,那么需要执行checkPermission(Permission perm, Object context))完成。 SecurityManager提供了包含上下文参数的getSecurityContext方法返回当前调用上下文的“快照”(默认实现返回一个AccessControlContext对象)。

AccessControlContext acc = null;
SecurityManager sm = System.getSecurityManager();
if (sm != null) {
	acc = sm.getSecurityContext(); 
}

其中,权限类别包括:文件,套接字,网络,安全,运行时,属性,AWT,反射和可序列化。 管理这些不同的权限类别类分别是java.io.FilePermission , java.net.SocketPermission , java.net.NetPermission , java.security.SecurityPermission , java.lang.RuntimePermission , java.util.PropertyPermission , java.awt.AWTPermission , java.lang.reflect.ReflectPermission和java.io.SerializablePermission 。

3.2 方法摘要

SecurityManager方法摘要

3.3 使用

策略配置

...

grant {
	...

    // permission java.util.PropertyPermission "java.version", "read";

    ...
};

Java实现

public class SecurityMain {
    public static void main(String[] args) {
        SecurityManager securityManager = new SecurityManager();
        System.setSecurityManager(securityManager);
        securityManager.getSecurityContext();
        
        securityManager.checkPropertyAccess("java.version");
    }
}

执行结果

Exception in thread "main" java.security.AccessControlException: 
    access denied ("java.util.PropertyPermission" "java.version" "read")
	at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
	at java.security.AccessController.checkPermission(AccessController.java:886)
	at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
	at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1294)
	at pojo.SecurityMain.main(SecurityMain.java:7)
iflink.guojl
关注
专栏目录
Java安全管理器——SecurityManager
seaboat——a free boat on the sea.(公众号:远洋号)
08-11 8250
总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是Java本身语言的制定开发者,所以第一个安全性不需要我们考虑。其中第二个安全性是我们重点考虑的问题,一般我们可以通过安全管理器机制来完善安全性,安全管理器安全的实施者,可对此类进行扩展,它提供了加在应用程序上的安全措施,通过配置安全策略文件达到对网络、
【JVM与性能调优】Java中的安全管理器SecurityManager入门介绍
本本本添哥
04-09 3018
通过SecurityManager,可以限制Java应用程序对以下资源的访问:文件系统:包括读、写、执行等操作。网络:包括建立连接、发送和接收数据等操作。反射:包括调用私有方法、修改final字段等操作。类加载器:包括设置类加载器、定义安全上下文等操作。
java securitymanager_Java安全管理器Security Manager)
weixin_36051281的博客
02-13 549
每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意代码,此...
认识java安全管理器SecurityManager
zhangningboyj的博客
01-30 3999
1,什么是Java安全管理器SecurityManager 在看java源码的过程中,经常会遇到如下一段代码: SecurityManager s = System.getSecurityManager(); ThreadGroup group = (s != null) ? s.getThreadGroup():Thread.currentThread().getThreadGroup() 或 SecurityManager security = System.getSecurityManager
Java安全管理器Security Manager)
yuanyong
03-15 211
每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意代码,此...
java安全管理器SecurityManager入门
weixin_30703911的博客
12-21 1553
一、文章的目的   这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。   比如在阅读源码的时候,发现这样的代码,想了解是做什么的: SecurityManager security = System.getSecurityManager(); if (security != null) { s...
Java安全管理器-SecurityManager
最新发布
sunyingboaini的博客
04-11 2665
SecurityManagerJava中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
dappFinance#Note#【Java多线程】安全管理器SecurityManager1
07-25
创建安全管理器利用安全管理器public static void main(String args[]){方法调用此方法时,返回所有新创建的线程实例化后所在的线
20.3:启用和禁用Java安全管理器!(课程共8100字,2段代码举例分析)
小兔子平安
07-01 100
在细节问题方面,本课程可能没有详细探讨Java安全管理器的缺陷和漏洞,以及如何应对这些问题。此外,本课程也没有涉及到Java安全管理器的高级应用场景,例如在分布式系统中使用Java安全管理器。因此,读者在实际应用中需要结合具体场景和需求,进行更加深入和全面的学习和探索。
security-manager:Java Security Manager的定制实现,旨在为Web应用程序提供额外的保护和保证
04-28
安全经理 Java安全管理器的定制实现,旨在为Web应用程序提供额外的保护和保证。 它允许使用更灵活的许可算法,以更好地满足J2EE环境的安全需求。 背景 默认的Java安全管理器实现被设计为用于不受信任的代码的通用沙箱。 典型案例是在网页上运行小程序。 为此,它检查调用堆栈上的每个类,要求它们都具有对任何潜在危险操作的许可。 当所有类都是Java API(受信任的)或任意潜在的恶意代码(不受信任的)时,这是一个很好的方法。 但是,典型的Web应用程序具有不同的需求和不同的威胁模型。 主要威胁来自外部,例如,精心设计的输入会触发本来值得信赖的库中的意外行为。 我们需要保护代码不被颠覆。 默认方法的问题在于,最容易受到攻击的类(如调用堆栈开头的类,例如应用程序服务器本身)也是必须授予每个特权的类,因为它们始终位于调用堆栈上。 这意味着我们不能轻易地将这些类沙盒化。 我们需要的是使他们的特
JDK源码分析——SecurityManager安全管理器实例分析
m47838704的专栏
05-15 1805
样例github 安全管理器简介 样例分析 样例相关文件 调试分析 1、直接运行(无参数) 2、配置默认安全管理器 3、配置默认管理+自定义策略文件(=) 4、配置默认管理+自定义策略文件(==) 样例github https://github.com/mh47838704/JavaExample 参考文章:http://47777205.com/view/24 ...
安全管理器入门小节
weixin_30702413的博客
02-18 157
1、关于安全管理器的概念:每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含...
java之jvm学习笔记六(实践写自己的安全管理器)
热门推荐
keycoding的专栏
12-06 1万+
安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用AccessController的checkPerssiom方法,访问控制器AccessController的栈检查机制又遍历整个PerssiomCollection来判断具体拥有什么权限一旦发现栈中一个权限不允许的时候抛出异常否则简单的返回,这个过程实际上比我的描述要复
Java SecurityManager
John Wong's Blog
06-03 1350
JavaSecurityManager用于完成对一些本地方法的权限管理。其他安全特性可以保证程序Java程序安全运行,但是当调用本地方法时,Java安全沙箱完全不起作用,因此需要在调用本地方法前确认它是可信任的。 启动SecurityManager开关: 默认情况下,JVM是不启动安全检查的。打开的方式有两种:一种是在启动运行中追加JVM参数-Djava.security.manager,另
Java安全管理器SecurityManager)与访问控制器(AccessController)服务器
OUDKE的博客
09-19 610
SecurityManager用于保护Java虚拟机免受恶意代码的攻击,而AccessController提供了细粒度的权限控制机制。在Java中,SecurityManager和AccessController是两个关键组件,用于实现安全性和权限控制。本文将详细介绍SecurityManager和AccessController在服务器应用中的作用,并提供相应的源代码示例。方法中,可以编写自定义的权限检查逻辑,以确保只有具有适当权限的代码可以执行。方法,在权限上下文中执行受权限保护的操作。
转:Java安全管理器Security Manager)
weixin_30725315的博客
03-07 144
对于安全管理器,有重要的两点请予以理解:1、System.setSecurityManager 方法是将自己的安全管理器设为程序使用的。它是根据policy配置文件来授予权限的。2、AccessControl.checkPermission 方法是在代码运行时,方法执行时检查方法帧,是否有读写或者其他的权限,同时也请明白方法执行时的内存布局。每个Java应用都可以有自己的安全管理器,它是防...
java securitymanager_Java中打开SecurityManager的方法
05-26
Java中,SecurityManager是一个重要的安全机制,用于保护Java应用程序免受恶意代码的攻击。默认情况下,Java应用程序没有启用SecurityManager,但是可以通过以下步骤打开: 1. 创建一个新的SecurityManager对象: ``` SecurityManager sm = new SecurityManager(); ``` 2. 将SecurityManager对象设置为当前应用程序的安全管理器: ``` System.setSecurityManager(sm); ``` 这将启用SecurityManager并将其设置为Java应用程序的默认安全管理器。接下来,您可以使用SecurityManager来设置各种安全策略和权限控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值