Java之SecurityManager安全管理器

最新推荐文章于 2024-04-11 16:09:46 发布
最新推荐文章于 2024-04-11 16:09:46 发布
阅读量2.9k 收藏 5
点赞数 4
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ioteye/article/details/109151608
版权

目录

SecurityManager是一个允许应用实现一种安全策略的类。应用在执行一个安全或敏感的操作之前,可以明确此操作是否在一个安全的上下文中被执行。

一、 启停安全管理器

1.1 启用

  1. 系统启动开启
    JVM参数-Djava.security.manager
    当运行一个程序,可以指定JVM命令-Djava.security.manager开启SecurityManager功能,这是打开SecurityManager最常见的方式。
    可以使用-Djava.security.policy指定策略文件路径。

  2. 程序手动开启

    // 创建SecurityManager实例
SecurityManager securityManager = new SecurityManager();
// 设置启动
System.setSecurityManager(securityManager);

注意:你可能会认为,使用System.setProperty(“java.security.manager”)也能打开SecurityManager,但这种方式并不会生效。原因就是,系统属性是在当JVM启动时进行检查的,在JVM完全启动之后,程序手动设置的系统属性,并不能奏效,因为已经不在对系统属性进行检查了。

1.2 关闭

如果想要关闭SecurityManager,该怎么做? 下面的代码能做到吗?

SecurityManager sm=System.getSecurityManager();
if(sm!=null){
    System.setSecurityManager(null);
}

注意:只有在位于${JDK_HOME}/jre/lib/security目录下或其他指定目录下的java.policy文件中指定了一个权限(permission java.lang.RuntimePermission "setSecurityManager")才会奏效。

二、安全策略

2.1 默认配置

默认的安全管理器配置文件是$JAVA_HOME/jre/lib/security/java.policy,即当未指定配置文件时,默认使用该配置文件。

// 授权基于路径在"file:${{java.ext.dirs}}/*"下的class和jar包,所有权限。
grant codeBase "file:${{java.ext.dirs}}/*" {
        permission java.security.AllPermission;
};
grant {
        // permission: 许可
        // java.lang.RuntimePermission: 校验权限类
        // stopThread: 校验项
        permission java.lang.RuntimePermission "stopThread";
        
        // 允许监听端口
        permission java.net.SocketPermission "localhost:0", "listen";

        // permission for standard RMI registry port
        // 允许监听标准RMI注册表端口
        permission java.net.SocketPermission "localhost:1099", "listen";
        
        // 允许读取通过Sytem.getProperty("java.version")读取属性值
        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};

2.2 策略准则

在启用安全管理器的时候,配置遵循以下基本原则

  1. 没有配置的权限,表示没权限
  2. 只能配置允许权限,没有禁止权限可以配置
  3. 同一种权限可多次配置,取并集
  4. 统一资源的多种权限可用逗号分割

默认配置文件解释
第一部分授权:授权基于路径在file:${{java.ext.dirs}}的class和jar包所有权限。

grant codeBase "file:${{java.ext.dirs}}/*" {
    permission java.security.AllPermission;
};

第二部分授权:这是细粒度的授权,对某些资源的操作进行授权。

grant { 
    permission java.lang.RuntimePermission "stopThread";
}

补充:当批量配置的时候(如:第一部分授权),有三种模式

  • directory/:表示directory目录下的所有.class文件,不包括.jar文件
  • directory/*:表示directory目录下的所有的.class.jar文件
  • directory/-:表示directory目录下的所有的.class.jar文件,包括子目录

可以通过${}来引用系统属性,如: “file:${{java.ext.dirs}}/*”

三、SecurityManager

3.1 概要描述

SecurityManager类包含许多以check开头命名的方法。java库中的各种方法在执行一些敏感的操作时,可以调用这些方法。

SecurityManager security = System.getSecurityManager();
if (security != null) {
	security.checkXXX(argument);
}

SecurityManager通过抛出异常(SecurityException)阻止没有权限操作的完成,唯一的例外就是checkTopLevelWindow方法返回boolean值,但是已经弃用。

Java2 SDK v1.2开始,SecurityManager中其他check方法底层是调用SecurityManager#checkPermission方法来确定调用线程是否具有执行请求操作的权限。

注意,只有一个权限参数的checkPermission方法总是在当前执行线程的上下文中执行安全检查。 有时,需要在特定上下文中进行安全检查,那么需要执行checkPermission(Permission perm, Object context))完成。 SecurityManager提供了包含上下文参数的getSecurityContext方法返回当前调用上下文的“快照”(默认实现返回一个AccessControlContext对象)。

AccessControlContext acc = null;
SecurityManager sm = System.getSecurityManager();
if (sm != null) {
	acc = sm.getSecurityContext(); 
}

其中,权限类别包括:文件,套接字,网络,安全,运行时,属性,AWT,反射和可序列化。 管理这些不同的权限类别类分别是java.io.FilePermission , java.net.SocketPermission , java.net.NetPermission , java.security.SecurityPermission , java.lang.RuntimePermission , java.util.PropertyPermission , java.awt.AWTPermission , java.lang.reflect.ReflectPermission和java.io.SerializablePermission 。

3.2 方法摘要

SecurityManager方法摘要

3.3 使用

策略配置

...

grant {
	...

    // permission java.util.PropertyPermission "java.version", "read";

    ...
};

Java实现

public class SecurityMain {
    public static void main(String[] args) {
        SecurityManager securityManager = new SecurityManager();
        System.setSecurityManager(securityManager);
        securityManager.getSecurityContext();
        
        securityManager.checkPropertyAccess("java.version");
    }
}

执行结果

Exception in thread "main" java.security.AccessControlException: 
    access denied ("java.util.PropertyPermission" "java.version" "read")
	at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
	at java.security.AccessController.checkPermission(AccessController.java:886)
	at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
	at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1294)
	at pojo.SecurityMain.main(SecurityMain.java:7)
we.think
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dappFinance#Note#【Java多线程】安全管理器SecurityManager1
07-25
创建安全管理器利用安全管理器public static void main(String args[]){方法调用此方法时,返回所有新创建的线程实例化后所在的线
Java安全权限控制机制研究综述.pdf
04-11
Java安全管理器SecurityManager)是Java中的一种安全机制,允许应用程序实现安全策略。它包含了很多名称以单词check开头的方法,Java库中的各种方法在执行某些潜在的敏感操作前可以调用这些方法。安全管理器通过抛...
Java原生安全管理器——SecurityManager
Judy的博客
10-18 545
Java安全管理器SecurityManager)是Java安全模型的核心组件,它负责检查程序运行时是否违反了安全策略。如果违反了安全策略,安全管理器会抛出一个SecurityException异常,阻止程序继续执行。
Java安全管理器——SecurityManager
一只小棉花的博客
10-19 5937
原文出处:http://bubuko.com/infodetail-306759.html 转自:https://blog.csdn.net/okjxp/article/details/78581599 总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是J...
Java安全管理器-SecurityManager
最新发布
sunyingboaini的博客
04-11 1408
SecurityManagerJava中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器SecurityManager
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
04-13 4165
Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是Java本身语言的制定开发者,所以第一个安全性不需要我们考虑。其中第二个安全性是我们重点考虑的问题,一般我们可以通过安全管理器机制来完善安全性,安全管理器安全的实施者,可对此类进行扩展,它提供了加在应用程序上的安全措施,通过配置安全策略文件达到对网络、本地文件和程序其它部分的访问限制的效果。
SecurityManager 是什么?有什么作用?
Shockang的博客
06-30 2745
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 SecurityManager 主要对账号、权限及身份认证进行设置和管理。 如果 Spark 的部署模式为 YARN ,则需要生成 secret key (密钥)并存入 Hadoop UGI 。 而在其他模式下,则需要设置环境变量 _SPARK_AUTH_SECRET (优先级更高)或 spark.aut
Java-API简析_java.lang.SecurityManager类(基于 Latest JDK)(浅析源码)
热门推荐
进步*于辰的博客
06-23 1万+
本篇文章是我解析Java-API的笔记,更多的是从方法着手,少对类的整体情况进行说明,故并不详尽,可供大家参考。 如果文中阐述不全或不对的,多多交流。
Java安全学习(权限验证)1
08-08
以上内容概述了Java安全学习中的关键知识点,包括认证、授权、权限管理和访问控制。理解并掌握这些概念,可以帮助开发者构建更加安全Java应用程序。在实际开发中,还需要结合具体的场景和安全需求,灵活应用这些...
JAVA开源权限管理框架Shiro入门极简版.docx
11-20
总的来说,Apache Shiro 是一个强大且灵活的安全框架,它提供了全面的安全管理功能,而其简洁的 API 使得开发者能够快速地在项目中实现安全控制,而不需要深入研究底层实现细节。通过理解和实践 Shiro 的核心概念和...
securesm:解决Java中设计缺陷的SecurityManager实现
04-29
安全 解决Java中设计缺陷的SecurityManager实现
Java 2平台安全技术-结构,API设计和实现
09-15
3.10.1 使用安全管理器的实例 51 3.10.2 JDK1.2中没有改变的API 52 3.10.3 JDK1.2中禁用的方法 53 3.11 java.security.AccessController 56 3.11.1 AceessController的界面设计 57 3.11.2 基础访问控制算法 57 ...
探索java security manager
liupc123123的专栏
06-25 1581
探索java security manager 从setAccessble引入 今天看了点以前写的关于java 反射的代码,再次回忆起了一个当初就没弄太明白的一个问题,先看看引出问题的代码: MyObject.java public class MyObject { public String name; public int age; public enum S
Java安全管理器SecurityManager
金溪的博客
01-23 1202
安全管理器是一个允许应用程序实现安全策略的类。SecurityManager类包含了很多名称以单词check开头的方法,Java库中的种种方法在执行某些潜在的敏感操作前可以调用这些方法 。 权限分为以下类别:文件、套接字、网络、安全性、运行时、属性、AWT、反射和可序列化。管理各种权限别的类:   java.io.FilePermission java.net.SocketPermissi...
java安全管理器SecurityManager入门
weixin_30703911的博客
12-21 1496
一、文章的目的   这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。   比如在阅读源码的时候,发现这样的代码,想了解是做什么的: SecurityManager security = System.getSecurityManager(); if (security != null) { s...
java安全管理器SecurityManager介绍
shadow_zed的博客
06-08 2058
java安全管理器SecurityManager简单剖析: javadoc介绍: SecurityManager是一个允许应用实现一种安全策略的类。它允许一个应用去明确,在执行一个可能安全或者敏感的操作之前,此操作是否允许在一个安全的上下文中被执行。 应用可以同意或者拒绝执行操作。 SecurityManager类包含许多以check开头命名的方法。java库中的各种方法在执行一些敏感的操作时可以调用这些方法。对check方法典型的调用如下: SecurityManager secu
getSecurityManager详解
lonelyhiker
01-30 1214
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZsRPWgrO-1675067056442)(//common.cnblogs.com/images/copycode.gif)]](javascript:void(0);[[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YhgLdeuo-1675067056447)(//common.cnblogs.com/images/copycode.gif)]](javascript:void(0);
java securitymanager_Java中打开SecurityManager的方法
05-26
Java中,SecurityManager是一个重要的安全机制,用于保护Java应用程序免受恶意代码的攻击。默认情况下,Java应用程序没有启用SecurityManager,但是可以通过以下步骤打开: 1. 创建一个新的SecurityManager对象: ``` SecurityManager sm = new SecurityManager(); ``` 2. 将SecurityManager对象设置为当前应用程序的安全管理器: ``` System.setSecurityManager(sm); ``` 这将启用SecurityManager并将其设置为Java应用程序的默认安全管理器。接下来,您可以使用SecurityManager来设置各种安全策略和权限控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值