枚举类是Java5新添加的一种类型,其本质也是一个类,既然是类,怎么不会让实例化,不然本身的那几个实例怎么得来的
枚举类并非坚不可摧,我们可以通过下面的代码,绕过构造方法newInstance时,对枚举类的检查,注意是用反射,直接拿到ConstructorAccessor进行实例化
public enum MyEnum {
D;
public static void main(String[] args) throws Exception {
Constructor c = MyEnum.D.getClass().getDeclaredConstructors()[0];
Method acquireConstructorAccessor = Constructor.class.getDeclaredMethod("acquireConstructorAccessor");
acquireConstructorAccessor.setAccessible(true);
acquireConstructorAccessor.invoke(c);
Field field = Constructor.class.getDeclaredField("constructorAccessor");
field.setAccessible(true);
ConstructorAccessor constructorAccessor = (ConstructorAccessor) field.get(c);
MyEnum a = (MyEnum) constructorAccessor.newInstance(new Object[]{"CCCC", 2});
System.out.println(a);
}
}
既然如此,那么用枚举实现单例模式也是有漏洞的哦!!!
以上代码在JDK9+无法运行,因为JDK1.9之后对类的访问权限(包括反射)设置了更安全的控制