Java-API简析_java.security.AccessController类(基于 Latest JDK)(浅析源码)

已于 2024-03-26 10:32:16 修改
阅读量1.3w 收藏
点赞数
分类专栏: 源码解析 文章标签: Java-API解析’ AccessControler
于 2023-06-14 18:16:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69908381/article/details/131212897
版权

【版权声明】未经博主同意,谢绝转载!(请尊重原创,博主保留追究权)
https://blog.csdn.net/m0_69908381/article/details/131212897
出自【进步*于辰的博客

文章目录

1、概述

继承关系:

  • java.lang.Object
    • java.security.AccessController

public final class AccessController extends Object

AccessController 类用于与访问控制相关的操作和决定。

更确切地说,AccessController 类用于以下三个目的:

  • 基于当前生效的安全策略决定是允许还是拒绝对关键系统资源的访问,
  • 将代码标记为享有“特权”,从而影响后续访问决定,以及获取当前调用上下文的“快照”,这样即可相对于已保存的上下文作出其他上下文的访问控制决定。

checkPermission() 确定应该批准还是拒绝由指定权限所指示的访问请求。示例调用如下所示。在此例中,checkPermission() 将确定是否批准对 "/temp" 目录中名为 "testFile" 的文件的“读”访问。

FilePermission perm = new FilePermission("/temp/testFile", "read");
AccessController.checkPermission(perm);

如果允许请求的访问,则 checkPermission() 正常返回。如果拒绝,则抛出 AccessControlException。如果请求的权限类型不正确或包含无效值,则也会抛出 AccessControlException。只要可能,就给出此类信息。 假定当前线程按照调用方 1 到调用方 2 直到调用方 m 的顺序遍历了 m 个调用方。那么调用方 m 调用 checkPermission()checkPermission() 基于以下算法确定批准还是拒绝访问:

i = m;
while (i > 0) {

    if (x) {// x → caller i's domain does not have the permission)throw AccessControlException
        ...
    } else if (y) {// y → caller i is marked as privileged
        if (z)// z → a context was specified in the call to doPrivileged
            context.checkPermission(permission);
        return;
    }
    i = i - 1;
} ;

// Next, check the context inherited when
// the thread was created. Whenever a new thread is created, the
// AccessControlContext at that time is
// stored and associated with the new thread, as the "inherited"
// context.
inheritedContext.checkPermission(permission);

可以将调用方标记为享有“特权”(请参阅 doPrivileged() 及下文)。在做访问控制决定时,如果遇到通过调用不带上下文参数(请参见下文以获取关于上下文参数的信息)的 doPrivileged() 标记为“特权”的调用方,则 checkPermission() 将停止检查。如果该调用方的域具有指定的权限,则不进行进一步检查并且 checkPermission() 正常返回,指示允许所请求的访问。如果该域不具有指定的权限,则通常抛出异常。

“特权”功能的标准用法如下所示。如果不需要从“特权”块返回值,则使用以下代码:

   somemethod() {
        ...normal code here...
        AccessController.doPrivileged(new PrivilegedAction() {
            public Object run() {
                // privileged code goes here, for example:
                System.loadLibrary("awt");
                return null; // nothing to return
            }
        });
       ...normal code here...
  }

PrivilegedAction 是一个具有单个方法的接口,该方法名为 run() 并返回一个 Object。上述示例显示该接口的实现的创建;提供了 run() 的具体实现。调用 doPrivileged() 时,将 PrivilegedAction 实现的实例传递给它。doPrivileged() 在启用特权后从 PrivilegedAction 实现调用 run() ,并返回 run() 的返回值作为 doPrivileged() 返回值(在此示例中忽略)。

如果需要返回值,则可使用以下代码:

   somemethod() {
        ...normal code here...
        String user = (String) AccessController.doPrivileged(
          new PrivilegedAction() {
            public Object run() {
                return System.getProperty("user.name");
            }
          }
        );
        ...normal code here...
  }

如果在 run() 中执行的操作可以抛出“已检查”异常(列在方法的 throws 子句中),则需要使用 PrivilegedExceptionAction 接口代替 PrivilegedAction 接口:

   somemethod() throws FileNotFoundException {
        ...normal code here...
      try {
        FileInputStream fis = (FileInputStream) AccessController.doPrivileged(
          new PrivilegedExceptionAction() {
            public Object run() throws FileNotFoundException {
                return new FileInputStream("someFile");
            }
          }
        );
      } catch (PrivilegedActionException e) {
        // e.getException() should be an instance of FileNotFoundException,
        // as only "checked" exceptions will be "wrapped" in a
        // PrivilegedActionException.
        throw (FileNotFoundException) e.getException();
      }
        ...normal code here...
  }

在使用“特权”构造时务必 * 特别 * 小心,始终让享有特权的代码段尽可能小。

注意checkPermission() 始终在当前执行线程的上下文中执行安全性检查。有时,本来应该在给定上下文中进行的安全性检查实际需要在另一个 上下文 中(例如,在 worker 线程中)完成。getContext() 和 AccessControlContext 类是针对这种情况提供的。getContext() 获取当前调用上下文的“快照”,并将其置于它所返回的 AccessControlContext 对象中。示例调用如下:

AccessControlContext acc = AccessController.getContext()

AccessControlContext 本身具有一个 checkPermission() ,该方法基于它所封装的上下文而不是当前执行线程作出访问决定。因此,另一上下文中的代码可以在以前保存的 AccessControlContext 对象上调用该方法。示例调用如下:

acc.checkPermission(permission)

有时候您还可能不知道用于检查上下文的权限的优先级。这时可以使用 doPrivileged() 来获取上下文:

somemethod() {
      AccessController.doPrivileged(new PrivilegedAction() {
           public Object run() {
              // Code goes here. Any permission checks within this
              // run method will require that the intersection of the
              // callers protection domain and the snapshot's
              // context have the desired permission.
           }
      }, acc);
      ...normal code here...
}

另请参见:
AccessControlContext

2、方法摘要

2.1 static void checkPermission(Permission perm)

基于当前生效的安全策略确定是否允许指定权限所指示的访问请求。

2.2 static <T> T doPrivileged(PrivilegedAction<T> action)

启用特权,执行指定的 PrivilegedAction。

2.3 static <T> T doPrivileged(PrivilegedAction<T> action, AccessControlContext context)

通过指定的 AccessControlContext 启用和限制特权,执行指定的 PrivilegedAction。

2.4 static <T> T doPrivileged(PrivilegedExceptionAction<T> action)

启用特权,执行指定的 PrivilegedExceptionAction。

2.5 static <T> T doPrivileged(PrivilegedExceptionAction<T> action, AccessControlContext context)

通过指定的 AccessControlContext 启用和限制特权,执行指定的 PrivilegedExceptionAction。

2.6 static AccessControlContext getContext()

此方法获取当前调用上下文(包括当前 Thread 的继承 AccessControlContext)的“快照”,并将其置于 AccessControlContext 对象中。

最后

如果大家需要Java-API文档,我上传了《Java-API文档-包含5/8/11三个版本》。

本文暂缓更新。

进步·于辰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jdk11 java11 linux版 jdk-11.0.2_linux-x64_bin.tar.zip
05-28
总的来说,"jdk-11.0.2_linux-x64_bin.tar.zip"文件代表了Java 11在Linux平台上的一个完整实现,包含了编译、调试和运行Java程序所需的所有工具。对于Linux开发者来说,它是开发现代Java应用不可或缺的基础组件。...
jdk11全版本 java11 jdk-11windows-x64_bin.exe.zip
05-28
这个压缩包文件名为"jdk11全版本 java11 jdk-11windows-x64_bin.exe.zip",显然提供了两个不同更新版本的JDK11,适用于Windows 64位操作系统:jdk-11.0.6_windows-x64_bin.exe和jdk-11.0.2_windows-x64_bin.exe。...
JavaAccessController安全模型
we.think
11-22 819
目录一、JDK的安全模型1.1 JDK1.0 安全模型1.2 JDK1.1 安全模型1.3 JDK 1.2 安全模型1.4 最新安全模型二、AccessController2.1 方法摘要 作为一种诞生于互联网兴起时代的语言,Java从一开始就带有安全上的考虑,如何保证通过互联网下载到本地的Java程序是安全的,如何对Java程序访问本地资源权限进行有限授权,这些安全角度的考虑一开始就影响到Java语言的设计与实现。可以说Java在这些方面的探索与经验,对后来的一些语言与产品都带来了积极影响。 一、JDK
AccessController - java安全管理
ayupch的博客
08-09 1465
上文中我们遇到了AccessController,它有什么作用呢?本节我们会对其进行介绍,在介绍它之前我们先介绍一下java的安全模型 参考: https://developer.ibm.com/zh/articles/j-lo-javasecurity/
java安全之AccessController
Supreme_Sir的博客
11-21 1010
由于现在开发的项目中使用到了Applet技术,当浏览器插件要对客户端文件进行读写等操作的时候会因为java的安全机制问题导致该次操作失败。因此为了避免该次操作因权限不足问题导致失败,故使用AccessController.doPrivileged(new PrivilegedAction() { public Object run() { try {
javaAccessController.doPrivileged使用
weixin_34129696的博客
01-15 541
AccessController.doPrivileged意思是这个是特别的,不用做权限检查. 在什么地方会用到呢:加入1.jar中有可以读取一个文件,现在我们要使用1.jar去做这个事情.但是我们的本生是没有权限去读取那个文件的,一般情况下就是眼睁睁的看着了.   但是jiava提供了doPrivileged.在1.jar中如果读取文件的方法是通过doPrivileged来实现的...
jdk9 java9 linux版 jdk-9.0.4_linux-x64_bin.tar.zip
05-28
Java Development Kit (JDK) 是Java编程语言的核心组件,它为开发者提供了编译、调试和运行Java应用程序所需的所有工具。JDK 9是Java的重要版本更新,带来了许多新特性和改进,尤其对于开发者来说,理解这些变化对于...
最新版linux jdk-11.0.13_linux-x64_bin.tar.gz
10-22
这个压缩包文件"jdk-11.0.13_linux-x64_bin.tar.gz"包含了在Linux环境下运行和开发Java应用程序所需的所有组件。 1. **JDK简介**: JDKJava程序开发的核心,它包括Java编译器、Java运行时环境(JRE)、调试工具...
最新版linux jdk-18_linux-x64_bin.tar.gz
03-25
【最新版Linux JDK-18_linux-x64_bin.tar.gz详解】 JDKJava Development Kit)是Oracle公司提供的用于开发和运行Java应用程序的工具包,它包含Java编译器、Java运行时环境以及一系列的Java工具和库。在这个最新版...
透过AccessController深入了解Java安全模型
zich77521的博客
08-11 231
自己捣鼓Nio时发现的坑 我就是留个标记 ,防止以后找不到。 原文是https://www.jianshu.com/p/81985bc2bfa3 参考网站:https://developer.ibm.com/zh/articles/j-lo-javasecurity/
java AccessController.doPrivileged使用
Code-lover's Learning Notes
12-15 1518
AccessController.doPrivileged意思是这个是特别的,不用做权限检查. 在什么地方会用到呢:加入1.jar中有可以读取一个文件,现在我们要使用1.jar去做这个事情.但是我们的本生是没有权限去读取那个文件的,一般情况下就是眼睁睁的看着了. 但是jiava提供了doPrivileged.在1.jar中如果读取文件的方法是通过doPrivileged来实现的.就不会有后面
JVM访问控制器--AccessController
.
05-29 600
java.securityAccessController提供了一个默认的安全策略执行机制,它使用栈检查来决定潜在不安全的操作是否被允许。这个访问控制器不能被实例话,它不是一个对象,而是集合在单个中的多个静态方法。AccessController的最核心方法是它的静态方法checkPermission(),这个方法决定一个特定的操作是否能被允许。这个方法将指向Permission对象的引用作为唯
JAVA基础 - JAVA中的安全模型-AccessController.doPrivileged
记录并分享
06-05 584
JAVA中将执行程序分成本地和远程两种,本地代码默认视为可信任的,而远程代码则被看作是不受信的。对于授信的本地代码,可以访问一切本地资源。而对于非授信的远程代码在早期的JAVA实现中,安全依赖于沙箱 (Sandbox) 机制。 沙箱机制就是将JAVA代码限定在虚拟机 (JVM) 特定的运行范围中,并且严格限制代码对本地系统的资源访问,通过这样的措施来保证对远程代码的有效隔离,防止对本地系统造成破坏。
jdk-accessController
hippowc的博客
10-09 427
在很多jdk源码中看到AccessController.doPrivileged,一直不知道这个有什么作用,这次看common-logging源码时,加载classloader时又看到这个,遂决定看下这个的作用。 简单来说,允许一个实例的买吗,通知这个AccessController,不用进行checkPermission检查。 复杂来讲要扯到java的安全模型:https://www
通过AccessControllerJava安全模型
lzf的博客
08-14 1066
以下部分到虚线之间译自oracle官网:java security for access controlJava平台中的访问控制体系结构保护对敏感资源(例如本地文件)或敏感应用程序代码(例如,中的方法)的访问。 所有访问控制决策都由一个安全管理器来调解,由java.lang.SecurityManager表示。为了激活访问控制检查, SecurityManager必须安装到Java运行时。Ja...
javaenum的实现enum<E extends java.lang.Enum<E>>
17studio
10-11 309
原来E extends java.lang.Enum&lt;E&gt;这个是为了语法顺畅而做的,解决父和子协作时,统一语法面使用方法 下面是从别的地方copy来的资料。。。做个标志 考虑下面的语法 E extends Foo&lt;E&gt; E被识别为Foo的子,这个情况相当于把一个子或者自己当成参数,传入到自身,引起一些特别的语法效果,例如 abstract class Foo&lt...
Java安全:SecurityManagerAccessController
枣面包的博客
03-17 722
前言 什么是安全? 程序不能恶意破坏用户计算机的环境,比如特洛伊木马等可自我进行复制的恶意程序。 程序不可获取主机及其所在网络的私密信息。 程序的提供者和使用者的身份需要通过特殊验证。 程序所涉及的数据在传输、持久化后都应是被加密的。 程序的操作有相关规则限制,并且不能耗费过多的系统资源。 保护计算机上的信息不被非法获取和修改时Java最初的,也是最基本的设计目标,但同时还要保证Java程序...
权限控制器AccessController
ljz2016的博客
08-16 3336
引用这篇文章做参考 在测试这个功能时,也遇到了一些坑。 关键在授权文件这里file:/D:/项目/study/out/production/study/必须是目标的根目录, 比如com.tt.Testaa 这个,希望给它赋予写权限,那么 file:/D:/项目/study/out/production/study/com/* file:/D:/项目/study/out/product...
jdk-11.0.19_linux-x64_bin.tar.gz下载
最新发布
12-17
JDK-11.0.19_linux-x64_bin.tar.gz 是 Java Development Kit(JDK)的一个版本,用于开发和部署 Java 应用程序。您可以通过以下步骤在 Linux 操作系统上下载并安装它: 1. 打开您的 Web 浏览器并访问 Oracle 官方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

进步·于辰

谢谢打赏!!很高兴可以帮到你!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值