JVM学习笔记之反射权限控制ReflectPermission

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: #JVM JAVA 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010617952/article/details/109130535
版权
#JVM 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
JAVA
1 篇文章 0 订阅
订阅专栏

1.ReflectPermission介绍

ReflectPermission这个类通常是在反射中用来权限校验的,下面这张表格列举了各种权限及授予权限后带来的风险:

权限名称授权范围授权后带来的风险
suppressAccessChecks
可以屏蔽java原本对字段和方法的各种访问权限校验;不仅可以访问公共成员,还能访问default、protected以及private成员。可能被恶意代码访问到正常情况下无法得到的信息和方法
newProxyInPackage.{包名}
可以在代理类实现的非公共接口所在的包中创建一个代理对象恶意代码可能借此访问到原本无法方法访问的类,以及那些处于系统保护域内的动态类。从而破坏系统的安全性

里面就两个构造方法:

 public ReflectPermission(String name) {
        super(name);
    }
public ReflectPermission(String name, String actions) {
        super(name, actions);
    }

可以看到,构造方法其实调用的是父类BasicPermission的构造方法,我们去看看BasicPermission的构造方法做了些什么。

public BasicPermission(String name) {
        super(name);
        init(name);
    }

super(name)是给本地字段name赋值,重点是init(name),来看下具体代码:

/**
     * initialize a BasicPermission object. Common to all constructors.
     */
    private void init(String name) {
        if (name == null)
            throw new NullPointerException("name can't be null");

        int len = name.length();

        if (len == 0) {
            throw new IllegalArgumentException("name can't be empty");
        }

        char last = name.charAt(len - 1);

        // Is wildcard or ends with ".*"?
        if (last == '*' && (len == 1 || name.charAt(len - 2) == '.')) {
            wildcard = true;
            if (len == 1) {
                path = "";
            } else {
                path = name.substring(0, len - 1);
            }
        } else {
            if (name.equals("exitVM")) {
                wildcard = true;
                path = "exitVM.";
                exitVM = true;
            } else {
                path = name;
            }
        }
    }

代码不难看懂,第一种情况如果name是*或者以.*结尾说明是通配符模式,分别给wildcard和path赋值;第二种情况如果name等于“exitVM”就给wildcard、path、exitVM分别赋值;其他情况直接让path等于name。

2.ReflectPermission使用场景

这个类我们最常使用的场景是,在反射时候如果想使用某个非公有方法或者非公有构造器,需要先设置其可以访问,这时就要用到java.lang.reflect.AccessibleObject的setAccessible方法:

public void setAccessible(boolean flag) throws SecurityException {
        SecurityManager sm = System.getSecurityManager();
        if (sm != null) sm.checkPermission(ACCESS_PERMISSION);
        setAccessible0(this, flag);
    }

这里的ACCESS_PERMISSION是一个私有的静态常量,实际上就是我们上面提到的suppressAccessChecks类型的RelectPermission。

static final private java.security.Permission ACCESS_PERMISSION =
        new ReflectPermission("suppressAccessChecks");

从上面的代码中我们可以看到涉及了SecurityManager,通过名字我们就可以知道这是安全管理器,具体什么是安全管理器可以看下一节介绍。然后是setAccessible0(this,flag)方法中会把本地属性override设置成true。

 

风中金乌
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java反射&权限控制.pdf
09-11
java反射&权限控制.pdf
黑马JVM学习笔记
01-20
Java虚拟机(JVM)是Java程序运行的基础,它提供了执行环境和内存管理。本文将深入探讨JVM的内存结构,特别是程序计数器、虚拟机栈、本地方法栈、堆内存以及它们在多线程环境下的工作原理。 程序计数器是JVM内存...
java高级编程-使用反射强制给private字段赋值
t225com
12-26 304
今天项目中遇到了一个问题,要调用一个类,并获取这个类的属性进行赋值然后将这个类传递到方法中做为参数。 实际操作时才发现,这个类中的字段属性是私有的,不能进行赋值!没有提供公有的方法。而这个类又是打包成jar给我的,我还不能更改它的代码,以至于想手动给它写个set方法都是问题。后来想到用反射可以解决这个问题,于是试了一下,果然! 反射看来根本不区分是否是private的,调用本身的私有方法是可以...
php 利用反射机制完成动态用户权限(RBAC)
weixin_44320900的博客
06-23 460
<?php class duoduo{ /** * 这是pay方法的注释 * @return string */ public function pay(){ return '我是 pay 方法'; } /** * 这是cancle方法的注释 * @return string */ public function cancel(){ return '我是 cancl
菜鸟学Java——Java反射机制(一)
热门推荐
纸上得来终觉浅,绝知此事要躬行
11-06 1万+
说到反射,相信有过编程经验的人都不会陌生。反射机制让Java变得更加的灵活。反射机制在Java的众多特性中是非常重要的一个。下面就让我们一点一点了解它是怎么一回事。   什么是反射 在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。   反射有什么用...
Java反射反射权限和静态属性的赋值
qq_32135037的博客
12-09 1014
Java反射反射权限和静态属性的赋值 当一个类中的属性是private的时候,需要将 fieldName.setAccessible(true); 当一个类的属性是静态属性的时候,则直接 itemListField.set(null, arrayList); 参考例子: // 获取类 Class mediaItemClazz = Class.forName("io.rong.imkit.plugin.image.PictureSelectorActivity$MediaItem");
java反射——关于权限和异常
chuntiandejiaobu10的专栏
09-14 2102
使用Java反射API的一个重要好处是可以绕过Java语言中默认的访问控制权限。Constructor、Filed和Method都继承自java.lang.reflect.AccessibleObject,其中的setAccessible方法可以用于设置是否绕过默认的权限检查,否则,访问非public的方法或者字段将产生IllegalAccessException异常。     而在利用Invo
JVM学习笔记一(线程私有的内存区域)
01-20
Jvm运行时,内存区域可以划分为两大部分 1.线程私有(程序计数器,虚拟机栈,本地方法栈) 2.线程共享(堆与方法区) 程序计数器:因为cpu会划分为时间片给多个线程执行,所以需要程序计数器记录下指令执行到具体的...
JVM学习笔记
04-28
JVM内存模型、常用JVM参数、垃圾回收算法和垃圾回收器等几个角度学习JVM
mvc通过反射获取action方法(适用于权限控制)
08-13
mvc通过反射获取action方法,适用于权限控制
JVM学习笔记(一)——类的加载机制
12-20
Java虚拟机(JVM)是Java程序运行的基础,它的核心组成部分之一就是类加载机制。类加载机制负责将Java源代码编译成的.class文件转换为内存中的数据结构,以便程序可以执行。本篇将深入探讨类加载机制的原理和过程。 ...
java 反射 安全_java反射安全
weixin_31582099的博客
02-21 234
嗯,它确实适用于setAccessible.看到:class A {private String method1() {return "Hello World!";}}和import java.lang.reflect.Method;class B {public static void main(String[] args) throws Exception {System.setSecurit...
java安全策略 禁止反射,Java Security Manager完全禁用反射
weixin_34404808的博客
02-25 300
I've been reading quite a lot of questions on Stackoverflow about this question but couldn't quit find a solution or answer for my problem. If there is already one I would be grateful if somebody woul...
java反射机制-认识和理解
weixin_44712669的博客
06-18 290
java反射机制反射1.定义2.应用3.反射的基本信息4.反射相关的类4.1 class类--反射的起源4.1.1 Class类中的相关方法4.1.2 通过反射创建对象4.1.3 反射私有属性4.1.4 反射私有方法5.反射的优点和缺点 反射 1.定义 Java反射(reflection)机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性,既然能拿到那么,我们就可以修改部分类型信息;这种动态获取信息以及动态调用对象方法的功能称为java语言
java高级特性---反射机制详解
li_w_ch的博客
12-24 168
反射机制: javai反'z射机h制是在运机制行状态中,对于任意一个类,都能够知道这个类的所有属性和方法 ;对于任意一个对象,都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制。 简单来说,能够分析类能力的程序称为反射反射的功能: 在运行时判断任意一个对象所属的类 在运行时构造任意一个类的对象 在运行时判断任意一个类所具有的成员变量和方法 在运行时调用任意一个对象的方法 生成动态代理 反射的用途: 在日常的第三方应用开发过程中,经常会遇到
java反射基础
qq_48128672的博客
11-13 230
java初学者反射基础
failed to set access: access denied ("java.lang.reflect.ReflectPermission" "suppressAccessChecks")
liuhui_306的专栏
08-02 3310
Can not access public com.es.plugin.RuleEntity() (from class com.es.plugin.RuleEntity; failed to set access: access denied ("java.lang.reflect.ReflectPermission" "suppressAccessChecks") 解决方案: reques
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1185
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
宋红康jvm学习笔记 逃逸分析
05-19
逃逸分析是JVM在运行时对对象的分析,用于确定对象的作用域。如果对象只在方法内部使用,那么它就不会逃逸出该方法,否则就会逃逸。逃逸分析可以优化程序的性能,因为当对象不逃逸时,JVM可以将它们放在线程栈上分配内存,而不需要在堆上分配内存,这样可以减少GC的负担。 逃逸分析有两种类型:全局逃逸和本地逃逸。全局逃逸是指对象逃逸到方法外面,本地逃逸是指对象逃逸到同一方法的其他线程中。在JVM中,逃逸分析是由HotSpot虚拟机实现的,它可以通过编译器的优化技术来减少对象的创建和销毁,从而提高程序的性能。 逃逸分析的实现需要依赖于编译器的支持,因此它在不同的JVM实现中可能会有所不同。在一些JVM实现中,逃逸分析可能会导致代码变得更加复杂,从而降低性能。因此,在使用逃逸分析时,需要根据具体情况进行评估和选择。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值