JVM简化图
1、类加载器
类加载器的作用就是加载class文件,加载器又分为:虚拟机自带的加载器、启动类(根)加载器、扩展类加载器、应用程序(系统类)加载器。类装载器采用的机制是双亲委派机制。
JVM先从AppClassLoader一层一层往上去找
2、双亲委派机制
AppClassLoader–> 扩展类 ExtClassLoader–> 根加载 Bootstrap classLoader
这个机制是为了保证安全的,其原理:在new了一个对象后,它会先从AppClassLoader中检查是否加载过,但无论是否能加载都会继续向父加载器委托,直到到达Bootstrap classLoader,如果根加载器能加载,就以根加载为准;如果不能加载就抛出异常交给子类加载器去加载,都不能加载的话则抛出ClassNotFoundException异常。
如果有人想替换系统级别的类:String.java。篡改它的实现,在这种机制下这些系统的类已经被Bootstrap classLoader加载过了就以根加载器为准,自己写的同名加载器就不会生效,从一定程度上防止了危险代码的植入,这样就保证了安全。
3、沙箱安全机制
Java安全模型的核心就是沙箱。沙箱机制就是将Java代码限定在虚拟机(JVM)特定的运行范围中,并且严格限制代码对本地系统资源的访问,通过这样的措施来保证对代码的有效隔离,防止对本地系统造成破坏。
沙箱主要限制本地资源的访问,在Java中执行程序分为本地代码和远程代码,本地代码默认是安全的,可以访问所有本地资源;而远程代码是不授信任的,对其运行的安全依赖于沙箱机制。
组成沙箱的基本组件:
字节码校验器(bytecode verifier) : 确保Java类文件遵循Java语言规范。这样可以帮助Java程序实现内存保护。但并不是所有的类文件都会经过字节码校验,比如核心类。
类裝载器(class loader): 其中类装载器在3个方面对Java沙箱起作用
- 它防止恶意代码去干涉善意的代码;
- 它守护了被信任的类库边界;
- 它将代码归入保护域,确定了代码可以进行哪些操作;
虚拟机为不同的类加载器载入的类提供不同的命名空间,命名空间由一系列唯一的名称组成, 每一个被装载的类将有一个名字,这个命名空间是由Java虚拟机为每一个类装载器维护的,它们互相之间甚至不可见。
存取控制器(access controller) : 存取控制器可以控制核心API对操作系统的存取权限,而这个控制的策略设定,可以由用户指定。
安全管理器(security manager): 是核心API和操作系统之间的主要接口。实现权限控制,比存取控制器优先级高。
安全软件包(security package): java.security下的类和扩展包下的类,允许用户为自己的应用增加新的安全特性,包括:
- 安全提供者
- 消息摘要
- 数字签名
- 加密
- 鉴别
4、Native
凡是带了native关键词的,会进入本地方法栈(调用native方法时会去调用本地方法接口 JNI),说明java的作用范围达不到了,会去调用c语言的库!简单来讲就是一个java调用非java代码的接口。
JNI的作用:扩展Java类的使用,融合不同的编程语言为Java所用。因为在java诞生之初,c、c++是潮流,想要立足,就必须要有能调用这些语言的程序,于是native关键词就诞生出来去调用c与c++代码
5、PC寄存器
程序计数器:
每个线程启动的时候,都会创建一个PC寄存器;
每个线程都有一个程序计数器,是线程私有的,就是一个指针,指向方法区中的方法字节码(用来存储指向下一条指令的地址,也即将要执行的指令代码),由执行引擎读取下一条指令,是一个非常小的内存空间,几乎可以忽略不记。
如果执行的是一个Native方法,那这个计数器是空的。
6、方法区
方法区是被所有线程共享的,所有字段和方法字节码,以及一些特殊方法(如构造函数、接口代码也在此定义)。简单说,所有方法的信息都保存在这个区域里,此区域属于共享区间。
静态变量、常量、类信息、运行时的常量池都存在方法区中,但是实例变量存在堆内存中,和方法区无关。存static、final、Class(类信息)、常量池这些东西。