单例模式下防止攻击(反射攻击)

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量1.5k 收藏 1
点赞数 4
分类专栏: java 文章标签: java 单例模式 java反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/msy7788/article/details/102736119
版权

这几天看了几篇java的单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全?

直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其实就是对应了我们的全局变量(比如有个静态变量10,有一个方法取这个变量数子,然后做了减一的操作以后再放回到静态变量里面,结果静态变量就变成了9,其他的方法以此类推,一个方法一个方法的取,直到最后取完,很安心)。

为什么要举一个多线程的例子呢?因为我们单例模式的情况下会用到这玩意,单例模式为什么安全,因为单例模式只有一个入口,我们通常写一个类,然后用其他的类调用的时候会在内存里面新建一块内存,也就是new,这个内存也就对应一个地址;相应的我们再new一个名字不一样的相同的类,它会在内存里面再开辟一个新的内存,也就对应了一个新的地址。然后我们看代码:

        TestClass testing = new TestClass();
 
        TestClass tesing = new TestClass();
        
        System.out.println(":"+testing);
        System.out.println(":"+tesing);

下面是输出的结果:

:enumtest.TestClass@117f31e
:enumtest.TestClass@15a6029

看到没有,这是两个地址了,那我要是想用这个类整个全局变量的话(那肯定不行啊,一个人取这个地址,其他人取的是其他的地址了,取的都不知道是啥,这个还整个毛线啊),所以现在就出现了转机:单例模式,单例的出现拯救了这个类,让它可以被大家所用,具体是怎么用的嘞,请看下面的代码:

public class TestSingleton { 

//这个是先定一个全局的初始化
    public static TestSingleton test = null;   
    private TestSingleton(){}

//实现单例的创建,如果为空就创建
    public static TestSingleton getInstance(){
        if(test == null) {
            test = new TestSingleton();
        }
        return test;
    }
}

上面创建了一个单例,然后我们调用一下这个单例,看一下它有什么优点:

public class SingleTonTest {

    public static void main(String args[]) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException{
        TestSingleton t = TestSingleton.getInstance();
        
        TestSingleton tee = TestSingleton.getInstance();
        
        System.out.println("輸出來的地址是:"+t);
        System.out.println("輸出來的地址是: "+ tee);
        System.out.println("看一下對比:"+(t == tee));
       
    }
    
}

看一下结果:

輸出來的地址是:enumtest.TestSingleton@1d7fbfb
輸出來的地址是: enumtest.TestSingleton@1d7fbfb
看一下對比:true

通过对比发现,从单例模式new出来的地址都是一样样的,这就是单例的好处了,用它做静态变量就比较让人放心了。

但是!!! java有个反射模式,我们看一下这个模式的定义:

反射是Java的特征之一,是一种间接操作目标对象的机制,核心是JVM在运行的时候才动态加载类,并且对于任意一个类,都能够知道这个类的所有属性和方法,调用方法/访问属性,不需要提前在编译期知道运行的对象是谁,他允许运行中的Java程序获取类的信息,并且可以操作类或对象内部属性。程序中对象的类型一般都是在编译期就确定下来的,而当我们的程序在运行时,可能需要动态的加载一些类,这些类因为之前用不到,所以没有加载到jvm,这时,使用Java反射机制可以在运行期动态的创建对象并调用其属性,它是在运行时根据需要才加载。

可以看到这个反射就是一个暴力破解器啊,可以强制的获取其他的类的所有的信息,私有类也不放过,太过分了,不过没办法,反射也有反射的好处,这里就不讲了。下面贴一个通过反射获取单例的代码:

public class SingleTonTest {

    public static void main(String args[]) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException{

   
        Constructor<TestSingleton> construcetor = TestSingleton.class.getDeclaredConstructor();
        
        construcetor.setAccessible(true);
        
        TestSingleton test = construcetor.newInstance();
        
        TestSingleton te = construcetor.newInstance();
        
        System.out.println("輸出來的地址是:"+test);
        System.out.println("輸出來的地址是:"+te);
        System.out.println("new出來的一樣不:"+(test==te));
    } 
}

看一下结果:

輸出來的地址是:enumtest.TestSingleton@1d7fbfb
輸出來的地址是:enumtest.TestSingleton@e020c9
new出來的一樣不:false

咋样,看出来了吧,看不出来就上去再看几遍。结果是不一样的,说明反射暴力破解了单例模式,new出了新天地,这种单例不安全啊。所以就出了枚举单例模式,贴代码:

public enum TestEnum {
    
    INSTANCE;
    
    public void test(){
        System.out.println("這個枚舉單例模式");
    }

}

上面是典型的枚举单例模式,看一下调用代码:

public class SingleTonTest {
    public static void main(String args[]) throws NoSuchMethodException, SecurityException, InstantiationException, IegalAccessException, IllegalArgumentException, InvocationTargetException{
       Constructor<TestEnum> construcetor = TestEnum.class.getDeclaredConstructor();
      
       construcetor.setAccessible(true);
      
       construcetor.newInstance();   
   }  
}

看一下结果:

Exception in thread "main" java.lang.NoSuchMethodException: enumtest.TestEnum.<init>()
    at java.lang.Class.getConstructor0(Unknown Source)
    at java.lang.Class.getDeclaredConstructor(Unknown Source)
    at enumtest.SingleTonTest.main(SingleTonTest.java:36)


报错了,,,所以说枚举是安全的单例,java反射没法暴力破解枚举的单例模式。

还有一种安全的单例模式的写法,就是在单例模式里面加一个判断实例是否为空,这样就可以避免反射的暴力,贴代码:

public class TestSingleton {
    private TestSingleton(){
        if(null != InnerClass.instance) {
            throw new RuntimeException("有了就不要創建了");
        }
    }
    
    private static class InnerClass{
        private static TestSingleton instance=new TestSingleton();
    }
    
    public static TestSingleton getInstance(){
        return InnerClass.instance;
    }
    
    private Object readResolve()
    {
        return InnerClass.instance;
    }
}

看一下调用代码:

public class SingleTonTest {

    public static void main(String args[]) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException{
        Constructor<TestSingleton> construcetor = TestSingleton.class.getDeclaredConstructor();
        
        construcetor.setAccessible(true);
        
        TestSingleton test = construcetor.newInstance();
        
        TestSingleton te = TestSingleton.getInstance();
        
        System.out.println("輸出來的地址是:"+test);
        System.out.println("輸出來的地址是:"+te);
        System.out.println("new出來的一樣不:"+(test==te));
    }
}

看一下结果:

Exception in thread "main" java.lang.reflect.InvocationTargetException
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(Unknown Source)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(Unknown Source)
    at java.lang.reflect.Constructor.newInstance(Unknown Source)
    at enumtest.SingleTonTest.main(SingleTonTest.java:28)
Caused by: java.lang.RuntimeException: 有了就不要創建了
    at enumtest.TestSingleton.<init>(TestSingleton.java:8)
    ... 5 more

报错了,反射是没法进去创建新的实例的。

 

专心做一个码农
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ava常用设计模式-单例模式
08-26
使用枚举可以实现单例模式,保证线程安全和防止反射攻击。枚举有两种实现方式: 方式一:将已经有的 class 转换成枚举单例 ``` public class Person { private String name; private int age; } public enum ...
java设计模式——单例模式
12-22
- 通过枚举类型实现单例模式是线程安全且防止反射攻击的最佳选择。 ```java enum Laowang { INSTANCE; public void doSomething() { // ... } } ``` 每种实现方式都有其适用场景,开发者需要根据实际需求...
单例模式如何防止反射攻击
m0_50654102的博客
06-03 789
单例模式例子: public class Single { private Single () {//私有化构造方法 } private static volatile Single instance = null; public static synchronized Single getInstance() { if(instance==null){ instance = new Single();//在此方法内创建对象
一文带你彻底搞懂设计模式之单例模式!!由浅入深,图文并茂,超超超详细的单例模式讲解!!
祝你身体健康,美满幸福
06-28 1872
本篇文章通过图文形式,由浅入深,详细讲解了设计模式中的单例模式的应用
单例模式以及防止反射破坏
qq_40262372的博客
09-01 994
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个类Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一类型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子类继承。 .
关于单例模式防止反射攻击
csdnwenjun的博客
12-31 491
1.1 饿汉式不改成员变量:有效防止反射, 当反射在前,先类加载,再反射构造方法(此时判断出已有实例)。 当反射在后,先反射构造方法(此时判断出已有实例)。 public class HungrySingleton { private final static HungrySingleton hungrySingleton; static{ hungrySingleton = new HungrySingleton(); } private Hungry
单例模式实现及防止反射与序列化
Better_YZQ的博客
07-19 813
单例模式 模式动机 对于系统中的某些类来说,只有一个实例很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用类的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是类只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
设计模式之单例模式六(防反射攻击
Wenlong_L的博客
09-22 2019
一、防反射攻击单例模式的设计过程中,我们说过很关键的一点是一定要将构造器设计为私有构造器,因为这样可以防止从外部构造对象。但是这样真的就会安全吗,答案肯定是不一定的。我们知道通过反射我们可以获取类中的域、方法、构造器,可以修改他们的访问权限,这样可以通过反射构造对象。如下所示: 上面的例子就是一个反射破坏的例子,针对的是恶汉式的单例模式,我们可以稍作修改防止这种反射攻击: ...
Java设计模式之单例模式以及如何防止通过反射破坏单例模式
weixin_51311741的博客
12-22 1741
​ 什么是单例模式?保障一个类只能有一个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具类!(一种做法,所有的方法都是static,还有一种单例模式让工具类只有一个实例) 某类工厂(SqlSessionFactory)
单例模式安全之反射攻击
qq_29879799的博客
07-25 412
源码 单例模式这里就不谈了,什么是单例模式可参考七种Java单例模式详解,这里是关于单例模式安全方面的,当然了这里说的安全不是线程安全。 什么是反射攻击呢 在Java中,由于反射的功能实在是太强了,通过动态访问类并设置AccessAllow 使得可以访问对象的私有属性方法等。 在单例模式中,我们使用private 修饰构造方法对外隐藏,防止外部new 对象,但是在反射的存在下,private的存...
Java单例模式(解决反射攻击,反序列化攻击
weixin_45679480的博客
11-27 621
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
防止单例模式JAVA反射攻击
haojinming的博客
04-13 235
单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:[java] view plain copypackage com.effective.singleton...
java单例模式代码实例
12-14
1. 防止反射攻击:虽然枚举方式能有效防止反射创建新实例,但在其他实现中需额外处理。 2. 避免序列化破坏单例:如果单例类实现了Serializable接口,应重写readResolve()方法以保持单例。 总结,Java单例模式在软件...
java单例模式使用及注意事项
09-04
总的来说,单例模式Java和其他编程语言中常用的设计模式,它提供了对单一资源的有效管理,但也需要开发者注意其潜在的问题,如线程安全和反射攻击。在实际应用中,应根据项目需求选择合适的单例实现方式。
常见设计模式—单例模式(Singleton)
12-22
- **枚举**:使用枚举类型创建单例Java中推荐的方法,既保证线程安全,又防止反射攻击。 ```java public enum Singleton2 { INSTANCE } ``` - **静态代码块**:适用于需要在实例化时执行复杂初始化操作的情况。 `...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 570
1.导入hutool的maven依赖。2.复制一下代码执行。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 505
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
社区养老服务小程序的设计
Karen198的博客
07-31 428
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
掌握单例模式与多线程安全实践
- 反射暴力攻击:恶意代码可以通过反射机制绕过单例模式的限制,创建新的实例。为防止这种情况,应谨慎使用反射,并对敏感操作进行权限控制。 - 序列化破坏:单例模式的实例在进行序列化和反序列化时,可能会失去其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值