JVM访问控制器--AccessController

类java.securityAccessController提供了一个默认的安全策略执行机制，它使用栈检查来决定潜在不安全的操作是否被允许。这个访问控制器不能被实例话，它不是一个对象，而是集合在单个类中的多个静态方法。AccessController的最核心方法是它的静态方法checkPermission()，这个方法决定一个特定的操作是否能被允许。这个方法将指向Permission对象的引用作为唯一的参数，并返回void。和安全管理器中的check方法相类似，如果AccessController确定这个操作被允许，它的checkPermission()方法将简单的返回；但是如果AccessController确定一个操作被禁止，它的checkPermission()方法将异常终止，并抛出一个AccessControllerException，或者是它的一个子类。
由AccessController的checkPermission()实现的基本算法决定了调用栈中的每个帧是否由执行潜在不安全的操作，每个栈帧代表了由当前线程调用的某个方法，每一个方法是在某个类中定义的，每个类又属于某个保护域，每个保护域包含一些权限。因此每个栈帧间接和一些权限相关。为了使传递给AccessController的checkPermission()方法的Permission对象所代表的操作被允许，这个AccessController的基本算法要求，和调用栈上的每个帧相关联的权限必须包含或隐含传给checkPermission()的Permission对象。
AccessController的checkPermission()方法自顶向下检查栈，只要它遇到一个没有权限帧，它将抛出一个AccessControllerException。通过抛出这个异常，AccessController指名这个操作不能被允许。相反，如果checkPermission()方法达到栈的底部，也没有遇到这种栈帧（即无权现执行潜在不安全操作）的情况，checkPermission()方法将简单返回。通过简单返回而不是抛出异常，AccessController指名这个操作可以被允许。
由AccessController的checkPermission()方法实现的真正的算法比这里描述的基本算法要稍微复杂一点。通过调用类AccessController的众多doPrivileged()方法中的任何一个，程序就可以让AccessController中止它对栈的一帧一帧的扫描。
AccessController自顶向下对栈进行检查，严格要求每一个栈帧都有执行某个操作的权限，以防一段不可靠的代码隐藏在一段可信任代码后面。因为AccessController一路向下的查看调用栈，所以，它最终会找到任何不能被允许执行请求操作的方法。但有的时候，调用栈较上层（更靠近栈顶）的代码可能希望执行一段代码，而这段代码在调用栈的较下层是不允许执行的，这时可以用doPrivileged()方法。当调用doPrivileged()方法时，就像调用其他任何方法一样，都会将一个新的栈帧压入栈。在由AccessController执行的栈检查中，一个doPrivileged()方法调用的栈帧标识了检查过程的提前终止点。如果和调用doPrivileged()的方法相关联的保护域拥有执行被请求操作的权限，AccessController将立即返回。这样这个操作就被允许，即使在栈下层的代码可能没有执行这个操作的权限。
doPrivileged()的一个无效使用：一个方法不能授予它自己比它现在已经用doPrivileged()调用所得到的权限更多的权限。通过调用doPrivileged()，一个方法仅仅能使用它现在已经被授予的权限。它告诉AccessController它实现其权限的职责，这样AccessController就应该忽略它的调用者的权限。