通过自定义classload和java自带的security实现相关安全的插件化功能

已于 2022-07-15 16:23:38 修改
阅读量1k 收藏
点赞数 1
文章标签: java 系统安全
于 2022-07-15 15:48:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l810102251/article/details/125805368
版权

总览

本文通过自定义classload实现加载指定的插件类,并运行的功能。通过使用java的security机制,降低加载的插件对系统造成破坏性的可能,比如需要限制插件调用System.exit(),调用获取jvm系统参数,读写文件和建立远程连接等。

插件示例

插件接口定义

/**
 * Description 公开的插件接口,有插件提供方实现
 * Author 
 * Date 2022/7/14 13:53
 */
public interface PlugOpenApi {
    /**
     *插件的启动方法
     * @return
     */
    int start();

    /**
     * 插件的停机方法
     * @return
     */
    int shutdown();
}

上游使用者给定的实现示例,其中包含系统推出的调用

/**
 * Description 插件的示例实现
 * Author 
 * Date 2022/7/14 13:55
 */
public class HelloWordPlugDemo implements PlugOpenApi {
    ScheduledExecutorService service = new ScheduledThreadPoolExecutor(1);

    /**
     * 插件实现,延迟一秒打印hello word 然后调用系统 GC  和 关闭系统(模拟对系统的破坏)
     *
     * @return
     */
    @Override
    public int start() {
        service.schedule(() -> System.out.println("hello word")
                , 1L, TimeUnit.SECONDS);
        System.gc();
        System.out.println("gc调用完成");
        System.exit(3);
        System.out.println("系统关机调用完成");
        return 1;
    }

    @Override
    public int shutdown() {
        service.shutdown();
        return 0;
    }
}

简化实现的类加载器

/**
 * Description
 * Author 
 * Date 2022/7/14 14:05
 */
public class PlugClassLoader extends ClassLoader {
    @Override
    public Class<?> loadClass(String name) throws ClassNotFoundException {
        Class<?> aClass = null;
        try {
            aClass = this.getParent().loadClass(name);
        } catch (ClassNotFoundException e) {
        }
        if (aClass != null) {
            return aClass;
        }

        int len = 0;
        byte[] data = null;
        String path = name;
        if (name.contains(".")){
            path = name.replace(".","/");
        }
        try (FileInputStream fis = new FileInputStream("D://tmp" + "/" + path
                + ".class")) {
            len = fis.available();
            data = new byte[len];
            fis.read(data);

        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return defineClass(name, data, 0, data.length);

    }
}

简化的插件指定加载和运行机制

/**
 * 运行插件的一个入口
 * Description
 * Author 
 * Date 2022/7/14 13:52
 */
public class Demo {
    public static void main(String[] args) throws ClassNotFoundException, InstantiationException, IllegalAccessException, InterruptedException {
        PlugClassLoader plugClassLoader = new PlugClassLoader();
        Class<PlugOpenApi> helloWordPlugDemo = (Class<PlugOpenApi>) plugClassLoader.loadClass("experiment.classload.plug.HelloWordPlugDemo");
        PlugOpenApi plugOpenApi =   helloWordPlugDemo.newInstance();
        plugOpenApi.start();
        TimeUnit.SECONDS.sleep(10);
        plugOpenApi.shutdown();
        System.out.println("插件运行结束");

    }

}

单是这样的机制,直接运行导致整个jvm由于插件的调用exit(3)而退出。主要是在生产环境会是一个灾难的后果

 启用java安全管理security

jvm的安全管理,默认是关闭。通过添加jvm参数启用,参数如下:

 -Djava.security.manager

 然而默认的java安全策略,不允许程序创建classload,不允许操作文件系统(应该是不能任一一个目录)

调整默认权限

修改jre\lib\security\java.policy文件,添加授权。如果不清楚文件中都能怎么设置。可通过jre/bin/policytool.exe 的图形界面程序辅助生成你需要的权限语句,将生成的条件语句添加到java.policy中指定的位置就好。

比如我要求jvm能够创建classload 能够读取文件系统,追加的权限内容如下:

 然后重写插件的运行机制:

/**
 * 运行插件的一个入口
 * Description
 * Author 
 * Date 2022/7/14 13:52
 */
public class DemoPermission {
    public static void main(String[] args) throws InstantiationException, IllegalAccessException, InterruptedException, ClassNotFoundException {
        CodeSource nullSource = new CodeSource(null, (CodeSigner[]) null);
        PermissionCollection noPerms = new Permissions();
        ProtectionDomain domain = new ProtectionDomain(nullSource, noPerms);
        AccessControlContext safeContext = new AccessControlContext(new ProtectionDomain[]{domain});

        PlugClassLoader plugClassLoader = new PlugClassLoader();
        Class<PlugOpenApi> helloWordPlugDemo = (Class<PlugOpenApi>) plugClassLoader.loadClass("experiment.classload.plug.HelloWordPlugDemo");
        PlugOpenApi plugOpenApi = helloWordPlugDemo.newInstance();

        try {
            AccessController.doPrivileged((PrivilegedAction) () -> {

                try {
                    plugOpenApi.start();
                } catch (Exception e) {
                    e.printStackTrace();
                }
                try {
                    TimeUnit.SECONDS.sleep(10);
                } catch (InterruptedException e) {
                    e.printStackTrace();
                }

                try {
                    plugOpenApi.shutdown();
                } catch (Exception e) {
                    e.printStackTrace();
                }
                return null;

            }, safeContext);
        } catch (Exception e) {
            e.printStackTrace();
        }
        System.exit(2);
        System.out.println("插件运行结束");

    }

}

运行结果如下:

 插件中的exit(3),和线程池的关闭方法被拒绝,而main中的system.exit(2)能够正常执行。

实现了只限制了插件的权限,二不限制插件之外的权限。

本文只是一个简单演示,对里面涉及的理论知识没有阐述。

l810102251
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【项目实战】Java中的安全管理器SecurityManager入门介绍
本本本添哥
04-09 2670
通过SecurityManager,可以限制Java应用程序对以下资源的访问:文件系统:包括读、写、执行等操作。网络:包括建立连接、发送和接收数据等操作。反射:包括调用私有方法、修改final字段等操作。类加载器:包括设置类加载器、定义安全上下文等操作。
一看你就懂,超详细java中的ClassLoader详解
热门推荐
frank 的专栏
02-10 31万+
本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 ClassLoader翻译过来就是类加载器,普通的java开发者其实用到的不多,但对于某些框架开发者来说却非常常见。理解ClassLoader的加载机制,也有利于我们编写出更高效的代码。ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了。但是,jvm启动的时候,并不会一次性加载所有的...
android-saf-plugin-demo:android件和saf
06-07
基于SAF和第三方Plugin库的 件 1 依赖的plugin库 目前此件项目支持SAF框架,但是不能使用SAF框架中的基类如SAFapp等,可能导致和宿主基类冲突(同名,但是不属于一个Classload)不能识别。建议可以在plugin项目中自己实现基类的所有功能。 由于此plugin实现的原理是通过ProxyActivity继承pluginApk中的Activity来实现的,所以plugin中的Activity如果使用注解的话,可能会失效。 支持特性如下: 普通的apk可以像件一样加载,普通是指按照android通常用的实现方式 启动件的Activity和从件来startActivyt 支持件自定义 theme 支持.so 和android2.x How to use: 需要定义的权限和 PluginActivity 在 AndroidManifest.xml: r
理解Java的自定义类加载器ClassLoader看这一篇就够了!!!
最新发布
程序员阿皓的博客
03-03 675
Java中的ClassLoader(类加载器)是负责将Java类文件生成字节码文件加载为JVM中类对应的Class的。字节码文件就是 *.class,文件内容本质就是一个字节数组。所以说ClassLoader的主要作用是将Java类的字节码文件加载到JVM中,并生成对应的Class对象,因此在每个Class对象中也会有一个标识指向是哪个ClassLoader加载的,由此可见,如果加载使用的是我们自己自定义的类加载器,那么在字节码文件加载到JVM这个阶段就可以实现一些特定的需求逻辑。
技术
yangyangrenren的专栏
11-15 545
转载于技术 发表于 2020-03-29 | 分类于 Java 技术 本文将介绍代码设计中的实现。涉及到的关键技术点 自定义ClassLoader 和 ServiceLoader 。 接着,会说下技术的典型应用场景。 ClassLoader 类加载的过程 参考:JVM 中关于3.2 类的生命周期 介绍。 显式与隐式加载 显式:在代码中通过调用 ClassLoader 加载 class 对象,如直接使用 Class.forName(name) 或 this.getClass().get
Java URLClassLoader实现功能开发
移动编程
07-04 957
件(Plugin)是什么不用多说,用过Eclipse就知道Eclipse有很多件。但本文的内容不是Eclipse件开发。 件是根据软件提供的接口编写出来的程序,很多软件都支持件,例如Eclipse、Photoshop、VisualStudio。件可以动态给软件添加一些功能,也可以随时删除,这样的好处是任何人都可以给这个软件进行功能上的扩展,而不用去改软件本身的代码。 一、适用场...
Java类加载器-ClassLoader
weixin_40017062的博客
05-27 1409
1、ClassLoader用来加载class字节码文件,生成类对象。 2、系统内置的ClassLoader通过双亲委托机制来加载指定路径下的class和资源。 3、ContextClassLoader与线程相关,可以获取和设置类加载器。 4、灵活运行自定义ClassLoader,可以解决类冲突问题,实现热加载以及热部署,甚至可以实现jar包的加密保护。
java定义类加载器URLClassLoader,动态加载任意类与资源文件 类隔离
老专家的博客
08-19 6629
java加载器就是加载class字节码或资源文件,使用自己的类加载器加载可以自定义加载任意文件目录里的类与资源文件,类被自己的类加载器加载后,在类里调用加载器(【可以看到自己是被那个加载器加载的】)加载资源classLoader.getResource,的跟目录就会变成这个类的class所在根目录,从而实现动态加载资源文件 主要有3个 Test.java main方法与自定义加载器 Han...
tomcat安全加载CLASS分析
风的博客
09-05 1201
前言在《通过tomcat源码查看其如何实现应用相互隔离》中,我介绍了在Bootstrap的init方法中,其中有关类加载器的执行有3步: 初始commonLoader、catalinaLoader和sharedLoader; 将catalinaLoader设置为Tomcat主线程的线程上下文类加载器; 线程安全的加载class。 这篇博客就是介绍如何tomcat线程安全的加载class。安全加载C
JAVA内存结构-GC-CLASSLOAD
12-10
JAVA内存结构-GC-CLASSLOAD
java面试难点讲解:hashmap,spring aop,classload,dubbo,zookeeper,session等。
02-28
面试必考之HashMap源码分析与实现 探索JVM底层奥秘ClassLoader源码分析与案例讲解 面试必备技能之Dubbo企业实战 分布式框架Zookeeper之服务注册与订阅 互联网系统垂直架构之Session解决方案 分库分表之后分布式下...
java classload教程
09-12
然后深入探讨java虚拟机(JVM)是如何利用类加载器读取代码,以及java中类加载器的主要类型。接着用一个类加载的基本算法看一下类加载器如何加载一个内部类。本文的下一节演示一段代码来说明扩展和开发属于自己的类...
破解java加密的ClassLoader.java,在classloader植入破解代码
10-15
破解java加密的ClassLoader.java,在classloader植入破解代码
定义ClassLoader
阿昊的博客
10-16 2050
定义ClassLoader
【JVM】类加载器(一):类加载机制及自定义ClassLoader
A minor
03-12 1071
入口,定义了 加载/寻找 Class 的策略。比如双亲委派,或者其他形式调用 findClass() 读入 class 文件,并生成 Class 对象根据 class 名,在当前 ClassLoader 能处理路径中查找,如果能找到就将 class 文件读入调用 defineClass 生成 Class 对象native 方法将字节数组生成 Class 对象。
java编程(动态加载)
shengjk1的博客
02-04 6418
对于java程序员来说,是一件很酷的功能,小二有幸在工作中实现了此功能。 背景: 需要将mysql的数据通过canal同步至kafka/mysql/hdfs等 实现 直接上代码 /** * Created by shengjk1 on 2017/12/11 */ public class PluginManager { private final static ...
Java定义ClassLoader加载外部类
Myd
11-01 1649
前几天在GitHub上下载了一个开源项目想要运行起来,启动这个项目会关联到数据库的一些表。因此想要运行起来还需要把数据库表建好。但是这个项目涉及到几十张表,并且作者没有给建表的SQL语句。(后续:吐血中,作者在项目给了sql语句。。。。。)想用这个项目那就只好自己建表了,但是几十张表自己建一时半会儿也弄不好。有这时间还不如重新找一个新项目于是果断放弃了这个项目,结果找了一圈发现这种类型的开源Java项目还真是少。于是,没办法还是回到这个项目。
如何自定义ClassLoader
wqc8994的博客
08-21 2372
在自定义ClassLoader之前要对ClassLoader的源码进行一些了解。当ClassLoader进行加载一个类时,会调用ClassLoader的loadClass方法。代码如下: /** * Loads the class with the specified <a href="#name">binary name</a>. * This method searches for classes in the same manne...
java 替换classload中的类
08-12
Java中,我们可以通过自定义ClassLoader来替换类的加载过程。ClassLoader是Java提供的一个类加载器,用于加载Java字节码文件(.class文件)并将其转换为可执行的Java对象。 要替换ClassLoader中的类,我们需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值