Java程序访问权限控制(policy文件)

最新推荐文章于 2023-09-11 21:13:35 发布
最新推荐文章于 2023-09-11 21:13:35 发布
阅读量639 收藏 2
点赞数 1
文章标签: java
当你想对Java程序进行权限控制时,可以考虑启用SecurityManager安全管理器,并配置XX.policy文件来达到你想的效果。(想对安全管理器进一步了解,可以阅读《深入Java虚拟机》)
1.启动SecurityManager开关
默认情况下,JVM是不启动安全检查的,所以要想让程序在沙箱中运行,必须将开关打开。打开的方式有两种,一种是在启动运行中追加JVM参数 -Djava.security.manager,还有一种方式是在程序中直接设置:System.setSecurityManager(new SecurityManager());,这两种方式是等价的。
2.JVM自带的java.policy文件

java.policy文件位于%JAVA_HOME%/ jre/lib/security/下,默认内容如下:

// Standard extensions get all permissions by default
 
grant codeBase "file<img src="%5C%22static/image/smiley/default/shy.gif%5C%22" smilieid="\"8\"" alt="\"\"" border="\"0\"">{{java.ext.dirs}}/*" {
        permission java.security.AllPermission;
};
 
// default permissions granted to all domains
 
grant { 
        // Allows any thread to stop itself using the java.lang.Thread.stop()
        // method that takes no argument.
        // Note that this permission is granted by default only to remain
        // backwards compatible.
        // It is strongly recommended that you either remove this permission
        // from this policy file or further restrict it to code sources
        // that you specify, because Thread.stop() is potentially unsafe.
        // See "http://java.sun.com/notes" for more information.
        permission java.lang.RuntimePermission "stopThread";
 
        // allows anyone to listen on un-privileged ports
        permission java.net.SocketPermission "localhost:1024-", "listen";
 
        // "standard" properies that can be read by anyone
 
        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";
 
        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";
 
        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};

里面定义了JAVA程序默认的权限,第一个grant定义了系统属性${{java.ext.dirs}}路径下的所有的class及jar(/* 号表示所有class和jar,如果只是/则表示所有class但不包括jar)拥有所有的操作权限 (java.security.AllPermission),java.ext.dirs对应路径为%JAVA_HOME%/jre/lib/ext目 录,而第二个grant后面定义了所有JAVA程序都拥有的权限,包括停止线程、启动Socket 服务器、读取部分系统属性。相信从字面上大家也能读懂其含义。

3.先写个测试例子:JavaPolicyTest.java(将其放在C:/TEMP目录下)

import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileWriter;
import java.io.InputStream;
import java.io.InputStreamReader;
 
public class JavaPolicyTest {
        public static void main(String[] args) {
                File file = new File("D:/test.txt");
                try {
                        read(file);
                        System.out.println("file read ok");
                } catch (Throwable e) {
                        System.out.println(e.getMessage());
                }
 
                try {
                        write(file);
                        System.out.println("file write ok");
                } catch (Throwable e) {
                        System.out.println(e.getMessage());
                }
        }
 
        private static void read(File file) throws Throwable {
                InputStream in = null;
                BufferedReader reader = null;
                try {
                        in = new FileInputStream(file);
                        reader = new BufferedReader(new InputStreamReader(in));
                        String temp = null;
                        while ((temp = reader.readLine()) != null) {
                                System.out.println("read-->" + temp);
                        }
                } catch (Throwable e) {
                        throw e;
                } finally {
                        if (in != null) {
                                in.close();
                        }
                        if (reader != null) {
                                reader.close();
                        }
                }
        }
 
        private static void write(File file) throws Throwable {
                FileWriter fw = new FileWriter(file);
                for (int i = 0; i < 10; i++) {
                        String temp = new java.util.Date() + " "
                                        + new java.util.Random().nextLong();
                         System.out.println("write-->" + temp);
                        fw.write(temp + "\r\n");
                }
                fw.flush();
                fw.close();
        }
}

在这个类中,我们将对D:/test.txt的文件进行访问,在C:/temp目录用命令行下执行java JavaPolicyTest,可以看到,操作都可以成功。但如果,我们启动了安全管理器时,访问是不成功的。
执行java -Djava.security.manager JavaPolicyTest时,可以看到访问是被拒绝的:
access denied (java.io.FilePermission D:\test.txt read)
access denied (java.io.FilePermission D:\test.txt write)
很明显,由于我们启动了安全检查,这里的操作全部失败。
4.自定义my.policy文件(进行访问仅限控制)
在c:/temp目录下写my.policy文件: 

grant codeBase "file:/C:/TMP/*" {
    permission java.security.AllPermission;
};

该文件的含义是:位置C:/TEMP目录下的Java程序拥有所有访问权限。
此时,进行测试:
输入命令:java -Djava.security.manager -Djava.security.policy=my.policy JavaPolicyTest

可以看到操作成功:
read-->Fri Jun 29 09:09:03 CST 2012 8306741991113651384
read-->Fri Jun 29 09:09:03 CST 2012 3858861688401833822
read-->Fri Jun 29 09:09:03 CST 2012 1200273480130160113
read-->Fri Jun 29 09:09:03 CST 2012 8757841849132885969
read-->Fri Jun 29 09:09:03 CST 2012 2706431524346322515
read-->Fri Jun 29 09:09:03 CST 2012 3338209174819526164
read-->Fri Jun 29 09:09:03 CST 2012 4303567693339900976
read-->Fri Jun 29 09:09:03 CST 2012 246564543183403482
read-->Fri Jun 29 09:09:03 CST 2012 -5613827692140751148
read-->Fri Jun 29 09:09:03 CST 2012 -2160324389603373039
file read ok
write-->Fri Jun 29 09:41:33 CST 2012 -4466633047452156168
write-->Fri Jun 29 09:41:33 CST 2012 6002365139178242241
write-->Fri Jun 29 09:41:33 CST 2012 -7638920310528629538
write-->Fri Jun 29 09:41:33 CST 2012 5167349606741454313
write-->Fri Jun 29 09:41:33 CST 2012 2958827128287814608
write-->Fri Jun 29 09:41:33 CST 2012 -5743066306268526126
write-->Fri Jun 29 09:41:33 CST 2012 -7794828514725883971
write-->Fri Jun 29 09:41:33 CST 2012 7382498395857317067
write-->Fri Jun 29 09:41:33 CST 2012 7040217825519914232
write-->Fri Jun 29 09:41:33 CST 2012 -1544415070373588605
file write ok
由于我分配的是AllPermission,所以全部操作都能成功。

iteye_12837
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java访问权限控制
qq_42251325的博客
06-21 137
每当我们打开一个java文件,最开始看到的就是package xx.xx.xx这个是包申明,表示这一class归属于这个xx这个包中,例如Arraylist,当我们打开ArrayList.class如下(使用eclipse,截取部分代码,并去掉注释): package java.util; public class ArrayList<E> extends AbstractList<E> implements List<E>, RandomAccess,
Java安全策略
fly to the sky的专栏
06-25 2214
一个系统级的安全策略定义了按以保护域(protection domains.)方式组织的执行代码的访问权限(按照应用程序的需要)。安全策略用于访问控制检查,这是由 JVM 在运行时执行的。在Java 2 平台中,所有的代码,不管它是本地代码还是远程代码,都可以由策略来控制,此基础上构建的 Java 2 平台安全策略设计为根据ProtectionDomain 授权访问权限,而
Web 安全之 Permissions Policy(权限策略)详解
路多辛的所思所想
09-11 3395
Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
java.policy 文件格式及使用方法
09-26 1104
一、Java中安全策略的概念     Java应用程序环境的安全策略,详细说明了对于不同的代码所拥有的不同资源的许可,它由一个 Policy对象来表达。为了让applet(或者运行在 SecurityManager下的一个应用程序)能够执行受保护的行为,例如读写文件,applet(或 Java应用程序)必须获得那项操作的许可,安全策略文件就是用来实现这些许可。     Policy对象可能有多个实体,虽然任何时候只能有一个起作用。当前安装的Policy对象,在程序中可以通过调用getPolicy方法得到
Java中的包与访问权限控制
iteye_18817的博客
04-24 393
多人开发 在java中,可以将一个大型项目中的类分别独立出来,分门别类的存到文件里,再将这些文件一起编译运行,如此的程序代码将更易于维护。 多人开发的问题:如果多个开发人员共同开发一个项目的时候,则肯定会出现类名称相同的情况。那么这样一来就会非常麻烦。 相同的文件会出现覆盖的情况。 包的概念 package是在使用多个类或接口时,为了避免名称重复而采用的一种措施,直接在程序中加入package关...
java policy_java权限设置文件java.policy
weixin_33416318的博客
02-12 551
基本情况Policy对象可能有多个实体,虽然任何时候只能有一个起作用。当前安装的Policy对象,在程序中可以通过调用getPolicy方法得到,也可以通过调用setPolicy方法改变。Policy对象评估整个策略,返回一个适当的Permissions对象,详细说明哪些代码可以访问哪些资源。策略文件可以储存在无格式的ASCII文件Policy类的二进制文件或数据库中2.JVM自带的java.p...
java的权限控制
zhaoyu_nb的博客
12-29 1308
custom.policy 文件 grant codeBase &quot;file:C:/Users/viruser.v-desktop/Desktop/testPolicy/*&quot; { //permission java.security.AllPermission; permission java.io.FilePermission &quot;C:/Users/viruser.v-deskt...
java权限控制_java权限控制(grant)
weixin_39977488的博客
02-12 355
import java.util.*;import java.awt.BorderLayout;import java.awt.Component;import java.awt.EventQueue;import java.awt.Toolkit;import java.awt.event.*;import java.io.*;import java.security.*;import java...
wechatpay-java 部署linux报错,替换policy文件
最新发布
01-13
而`local_policy.jar`文件则包含了一般适用的本地安全策略,定义了JVM在运行时对加密算法和其他敏感操作的访问权限。 在Linux环境下部署Java应用时,如果遇到与安全策略相关的错误,可能是因为当前的Java安全策略不...
java权限安全
12-29
用户可以通过命令行指定政策文件,如`java -Djava.security.policy=path/to/testPolicy MainClass`,这样程序就会按照`testPolicy`文件中的规则进行权限检查。 4. **权限类**: Java提供了一系列权限类,如`File...
java后台通用权限控制模块
08-04
通用权限控制模块,类似spring security ,控制系统权限。 可进行页面级别权限控制
Java项目开发与毕业设计指导
08-09
Ch01:俄罗斯方块游戏的实现 安装JDK,并正确配置环境变量(如果有疑问,可以参考任何一本java入门书籍)。打开Eclipse(可以到http://www.eclipse.org/现在官方最新版,Eclipse本身是免费软件),导入ch01下的java项目,然后保存、运行game.ErsBlocksGame类即可。 Ch02:俄罗斯方块双人对战的实现 安装JDK,并配置环境变量,打开Eclipse,导入java项目ch02,然后保存、运行game.ErsBlocksGame 类即可。 Ch03:五子棋对战游戏的实现 安装JDK、配置环境变量,打开Eclipse导入ch03项目,运行server.chessServer类启动服务器端,运行client.chessClient类启动客户端。目前只支持两个客户端进行网络对战,多个玩家还有如线程同步问题等。两个客户端可以在同一台电脑上运行。 Ch04:多媒体展示系统 –网络游鱼 安装JDK、配置环境变量,打开Eclipse导入ch04项目,运行server.FishServer类启动服务器端,运行java client.SwimFish类启动客户端。注意,同时在多台机上运行客户端才能显示出网络游鱼的效果,在同一台机上打开多个客户端窗口不能看到该效果。 Ch05:野人与传教士过河问题的实现 安装JDK、配置环境变量,打开Eclipse导入ch05项目,运行主类crossriver.CrossRiver即可启动演示程序。 Ch06:人机对战五子棋游戏的实现 安装JDK,配置环境变量,双击compile.bat 批处理文件编译项目,双击runFive.bat批处理文件可启动项目。 Ch07:蚁群算法的模拟实现 安装JDK,配置环境变量,导入ch07项目,一般情况下直接保存、运行ant.UI即可启动程序。如果不能运行,将ch07文件夹下的swt.jar加入构建路径,然后在运行中的JVM参数中加入-Djava.library.path="dll所在目录的绝对路径"即可。 也可以在命令行下直接运行该程序,假设ch07文件夹放在D盘跟目录。则在cmd下切换到ch07文件夹下,运行如下命令即可启动程序java -cp D:\ch07\swt.jar;.; -Djava.library.path=D:\ch07 ant.UI ch08:SchoolEbay的实现 安装JDK,配置环境变量,安装ant和tomcat,并配置相应环境变量,不清楚的读者可以参见其文档。安装SQL Server 2000或更高版本,注意SQL Server 2000必须打sp3补丁,否则无法监听端口,客户端不能连接。 然后SchoolEbay\database目录下的数据库文件附加到Sql Server,具体操作是打开企业管理器,在左边的树状列表中右击数据库,在弹出的快捷菜单中选择“所有任务”|“附加数据库”命令,再选择要附加的数据库文件即可。 打开控制台(运行中输入cmd),将目录转到SchoolEbay所在目录,输入ant命令来编译打包程序(编译前请修改datasource下的Constants.java文件,将其中的username和passoword修改为SQL Server的用户名和密码)。将生成的SchoolEbay.war添加到Tomcat的webapps目录下,并启动Tomcat、启动Sql Server。访问http://localhost:8080/SchoolEbay/index.jsp,可启动本项目。 Ch09:Ajax技术在网上教学平台的应用 安装JDK,配置环境变量,安装Tomcat、SQL Server并进行相应配置。创建数据库Ajax,然后使用sql目录下的ajaxbak文件还原数据库。为Eclipse安装MyEclipse插件。使用Eclipse导入项目ch09, 在src/config.properties中配置数据库连接信息, 然后部署项目、启动tomcat。 访问http://localhost:8080/ajax即可启动本程序。 Ch10:一个简单的编译器实现 安装JDK、配置环境变量,启动Eclipse并导入ch10项目,运行主类calculator.Calculator即可。 Ch11:基于RMI分布计算实例 安装JDK、配置环境变量,编译java文件(可以用eclipse自动编译也可以手动命令行下编译),然后命令行下运行如下命令启动服务器端: java rmi.NetS 2000 (端口号为2000)
Java安全权限控制机制研究综述.pdf
04-11
Java安全权限控制机制是Java安全体制中的一种重要机制,通过对Java安全管理器、权限类、安全策略文件、自定制权限类等底层技术的研究,程序员可以细致的控制各个安全访问权限,提高Java应用程序的安全性。
权限类组件程序.zip_java 权限_权限_权限 过滤 java
09-21
2. `java.security.Policy`:定义了系统的安全策略,它根据策略文件或代码基来决定哪些权限被授予。 3. `java.security.AccessController`:执行权限检查,当代码尝试执行需要特定权限的操作时,它会介入并进行检查...
Java权限控制源码实例.rar
07-10
Java编程语言中,权限控制是一项关键的安全特性,它允许开发者对程序的资源访问进行严格的管理,以防止未授权的访问或操作。本实例提供的"Java权限控制源码实例.rar"是一个具体的示例,用于演示如何在Java中实现对...
Java Security安全系列文档翻译笔记————PolicyFile
zhjali123的专栏
08-07 1392
主要是针对运行java代码的用户而言。让Java代码运行在Secure Manager的管理下,只有在Policy File中声明的权限,代码才可以执行相应的操作,以此来建立一个沙箱。 估计这也是Android的Permission授权机制也是这个哦。
Java安全管理——策略文件介绍
weixin_34114823的博客
02-25 353
2019独角兽企业重金招聘Python工程师标准>>> ...
java policy_使用Policy文件来设置Java的安全策略
weixin_31328141的博客
02-12 648
策略文件和安全属性文件中可以进行属性扩展。属性扩展类似于扩展 shell 中的变量。也就是说,当类似${some.property}的字符串出现在策略文件或安全属性文件中时,它将被扩展为系统属性的值。 例如,permission java.io.FilePermission "${user.home}", "read";将把 "${user.home}" 扩展为使用 "user.home" 系统属...
Java 对于用户访问服务器文件 怎么控制权限
06-06
Java提供了一套权限控制机制,可以对用户访问服务器文件进行权限控制。 具体的实现方式是: 1. 定义文件访问权限对象(Permission):通过定义文件访问权限对象(例如FilePermission),来描述用户对文件访问的权限。权限对象包括文件路径、访问方式等信息。 2. 创建权限集合(PermissionCollection):通过创建权限集合,将多个权限对象合并到一个集合中,方便进行权限控制。 3. 配置安全策略文件:在安全策略文件中,可以定义用户的访问权限,例如指定某个用户可以读取某个文件的权限。 4. 运行时进行权限检查:在程序运行时,通过SecurityManager来进行权限检查,检查用户是否具有访问文件的权限。 下面是一个简单的例子,展示了如何对用户访问服务器文件进行权限控制: ```java import java.io.FilePermission; import java.security.AccessControlException; import java.security.AccessController; import java.security.PermissionCollection; public class TestFilePermission { public static void main(String[] args) { // 定义文件访问权限 FilePermission filePermission = new FilePermission("/path/to/file.txt", "read"); // 创建权限集合 PermissionCollection permissionCollection = filePermission.newPermissionCollection(); permissionCollection.add(filePermission); // 配置安全策略文件 System.setProperty("java.security.policy", "file:/path/to/security.policy"); // 运行时进行权限检查 try { AccessController.checkPermission(filePermission); System.out.println("User has permission to access the file."); } catch (AccessControlException e) { System.out.println("User does not have permission to access the file."); } } } ``` 在上述例子中,首先定义了用户对文件访问权限,然后将其添加到权限集合中。然后,在安全策略文件中配置了用户的访问权限,最后在程序运行时,通过AccessController来进行权限检查。如果用户具有访问文件的权限,则输出"User has permission to access the file.",否则输出"User does not have permission to access the file."。 总之,Java提供了一套完整的权限控制机制,可以对用户访问服务器文件进行细粒度的权限控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值