沙箱(Sandbox)机制是将Java程序限定在JVM特定的运行范围内,并严格限制代码对本地系统资源的访问,以保证代码的有效隔离,防止对本地系统造成破坏。
1 安全模型
类在加载过程中,类加载器会为类设置初始的安全上下文(从安全策略文件读取权限配置信息),在类的执行过程中,会根据它所拥有的权限进行检查和授权。
| 安全管理器 | SecurityManager是Java的一个组件。用于控制应用程序对系统资源的访问。 |
| 代码源 | CodeSource,是确定一个特定代码源的原点,有两个字断,一个是代码路径URL(可以是包的位置,也可以是jar的位置),另一个是数字签名证书信息。 |
| 权限 | Permission,用于授予或拒绝访问特定资源的权限。PermissionCollection类是一组Permission对象的集合。 这两个类都有implies(Permission)方法,用于检测是否拥有该权限。 |
| 策略 | Policy,实现基于规则的访问控制和权限管理。定义了一组规则,用于确定哪些主体可以访问哪些对象。 |
| 保护域 | ProtectionDomain,包含了代码源、权限集信息。Java中,每个类都会分配到一个保护域中。保护域会在类加载阶段进行设置。 |
图 安全模型中的几个重要概念
图 Java的安全模型
1.1 类加载过程中的授权及权限检测
- 当JVM需要使用一个类时,会委托给类加载器去加载这个类,来加载类的字节码,并将其转换为JVM可以理解的Class对象。
- 加载类时,类加载器会为这个类创建一个保护域(一个类只能在一个保护域中)。
- 权限集可以在类加载时静态设置,也可以在运行时动态修改。权限信息通常来自Java安全策略文件。此外还可以通过安全管理器的API在运行时动态授予和撤销权限。
- Java代码尝试执行受保护的操作(文件访问、网络访问、反射等)时,安全管理器会检察该代码相关联的保护域中的权限,如果没权限,则会抛出SecurityException异常。
1.2 安全策略文件
用于配置代码的执行权限。 可以使用-Djava.security.manager 命令行来指定Java安全策略文件。根据作用范围,分为全局策略及用户策略。
| 全局策略 | 作用整个Java虚拟机的安全策略,用于定于默认的安全规则。对所有Java应用程序生效。通常位于$JAVA_HOME/jre/lib/security/java.policy。 |
| 用户策略 | 是个可选的安全策略,用于定义应用程序的安全规则。 |
表 全局策略与用户策略
Java安全权限验证默认没开启,可以通过-Djava.security.manager来开启。但是可能会带来下面这些影响。
| 性能下降 | JVM需要对每个可执行的代码进行安全性检查,从而可能会导致性能下降。 |
| 功能限制 | 功能可能会受到限制。如果没有配置良好的安全策略文件或者安全策略过于严格,则可能导致程序无法执行一些关键操作,例如访问本地文件系统,创建网络连接等。 |
| 需要额外的配置 | 需要编写和配置安全策略文件,要求程序员具有一定的安全意识和技能。 |
表 开启安全权限验证的影响
2 类加载器
每个类加载器都有自己的命名空间,这意味着由特定类加载器加载的类与其他类加载器加载的类在逻辑上是隔离的(除非这些加载器有明确的父子关系)。
| 类隔离 | 每个类加载器都有自己的命名空间,不同类加载器加载的同名类被视为不同的类。所以允许应用程序定义与标准库或第三方库同名的类,而不会发生冲突。 |
| 资源隔离 | 与类隔离同理。 |
| 安全性 | 会在加载过程中对类进行权限配置与验证。 |
表 类加载器的其他作用
2.1 自定义类加载器。
图 Java默认的三种加载器及协作关系
Java中加载类是用了“双亲委派模型”,即加载类时,先委托给父类加载器,如果父类加载器加载不了,则再自己处理。这里的父类并不是指具有继承关系的,而是通过合成复用,来设置父类加载器。
系统默认使用应用程序类加载器来加载类。(实际上还有许多的加载方式,例如通过远程加载等)
我们在自定义类加载器时,如果没有指定父类加载器,那么其父类加载器为应用程序类加载器。
public class CustomClassLoader extends ClassLoader{public static void main(String[] args) throws ClassNotFoundException, InstantiationException, IllegalAccessException {ClassLoader classLoader = new CustomClassLoader();Class<?> aClass = classLoader.loadClass("com.huangmingfu.ReadFileObj");System.out.println(aClass.newInstance());}@Overrideprotected Class<?> findClass(String name) throws ClassNotFoundException {byte[] classByte = getClassByte(name);return defineClass(name.substring(0,name.lastIndexOf(".")),classByte,0,classByte.length);}private byte[] getClassByte(String name) {String filePath = getPath() + "/" + name;try(FileInputStream inputStream = new FileInputStream(filePath);) {ByteArrayOutputStream stream = new ByteArrayOutputStream();int i = 0;while ((i=inputStream.read()) != -1) {stream.write(i);}return stream.toByteArray();} catch (IOException e) {throw new RuntimeException(e);}}private static String getPath(){URL url = ClassLoader.class.getProtectionDomain().getCodeSource().getLocation();try {return URLDecoder.decode(url.getPath(),"UTF-8");} catch (UnsupportedEncodingException e) {throw new RuntimeException(e);}}
}2.1.1 sql驱动中的类加载器
Java 核心库(rt.jar)中包含了与数据库连接有关的接口。实际实现则需要数据库厂家自己提供的jar包(例如,mysql的mysql-connector-java)。通过SPI模式,当厂家的数据库驱动包包含到用户路径时,rt.jar的ServiceLoader 会去加载这个实现类,现在问题来了:
核心库是启动类加载器加载的,而厂家提供的jar包不能被其加载。在ServiceLoader 中,通过Thread.currentThread().getContextClassLoader(); 来获取上下文类加载器来加载厂家的实现类。
