继续浏览精彩内容
慕课网APP
程序员的梦工厂
打开
继续
感谢您的支持,我会继续努力的
赞赏金额会直接到老师账户
将二维码发送给自己后长按识别
微信支付
支付宝支付

透过AccessController深入了解Java安全模型

RISEBY
关注TA
已关注
手记 452
粉丝 70
获赞 317

问题

上一期在使用到MappedByteBuffer时,采用的其中一种方式(AccessController)来释放已分配的内存映射,今天具体探讨一下AccessController的前世今生。

回顾上一期代码:

AccessController.doPrivileged(new PrivilegedAction() {    public Object run() {      try {
        Method getCleanerMethod = buffer.getClass().getMethod("cleaner", new Class[0]);
        getCleanerMethod.setAccessible(true);
        sun.misc.Cleaner cleaner = (sun.misc.Cleaner)
        getCleanerMethod.invoke(byteBuffer, new Object[0]);
        cleaner.clean();
      } catch (Exception e) {
        e.printStackTrace();
      }      return null;
    }
});

首先我们先了解一个概念,在Java的设计中,实际上是有安全上的考虑,但是大家在开发过程中,很少接触这方面,也几乎用不到。所以关于这方面的材料也不多,网上找到的基本都是Java安全模型介绍

本文中采用的示例说明基本也摘抄自上述文章。

代码入手

我们先抛开所有概念,从代码入手来看看现在的Java安全模型是如何实现的。

1. 前提

两个项目,一个X项目,一个Y项目

X项目对于<font color=red>某个目录(目录属于X项目)</font>有写权限(该权限由Java安全模型控制,后续会讲到)

Y项目调用X项目中的写文件工具类,且Y项目没有授权<font color=red>某个目录</font>的写权限

2. 代码块

<b>X项目</b>(项目路径:D:\workspace\projectX\;代码路径在项目路径bin目录下;某个目录:D:\workspace\projectX\bin):

package learn.java.security;import java.io.File;import java.io.IOException;import java.security.AccessControlException;import java.security.AccessController;import java.security.PrivilegedAction;public class FileUtil {   // 工程 A 执行文件的路径
   private final static String FOLDER_PATH = "D:\\workspace\\projectX\\bin";   public static void makeFile(String fileName) {       try {           // 尝试在工程 A 执行文件的路径中创建一个新文件
           File fs = new File(FOLDER_PATH + "\\" + fileName);
           fs.createNewFile();
       } catch (AccessControlException e) {
           e.printStackTrace();
       } catch (IOException e) {
           e.printStackTrace();
       }
   }   public static void doPrivilegedAction(final String fileName) {       // 用特权访问方式创建文件
       AccessController.doPrivileged(new PrivilegedAction<String>() {           @Override
           public String run() {
               makeFile(fileName);               return null;
           }
       });
   }
}

<b>Y项目</b>(项目路径:D:\workspace\projectY\;代码路径在项目路径bin目录下)

package demo.security;

import java.io.File;
import java.io.IOException;
import java.security.AccessControlException;

import learn.java.security.FileUtil;public class DemoDoPrivilege {   public static void main(String[] args) {
       System.out.println("***************************************");
       System.out.println("I will show AccessControl functionality...");

       System.out.println("Preparation step : turn on system permission check...");       // 打开系统安全权限检查开关
       System.setSecurityManager(new SecurityManager());
       System.out.println();

       System.out.println("~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~");
       System.out.println("
       Create a new file named temp1.txt via privileged action ...");       // 用特权访问方式在工程 A 执行文件路径中创建 temp1.txt 文件
       FileUtil.doPrivilegedAction("temp1.txt");
       System.out.println("~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~");
       System.out.println();

       System.out.println("/////////////////////////////////////////");
       System.out.println("Create a new file named temp2.txt via File ...");       try {           // 用普通文件操作方式在工程 A 执行文件路径中创建 temp2.txt 文件
           File fs = new File(                   "D:\\workspace\\projectX\\bin\\temp2.txt");
           fs.createNewFile();
       } catch (IOException e) {
           e.printStackTrace();
       } catch (AccessControlException e1) {
           e1.printStackTrace();
       }
       System.out.println("/////////////////////////////////////////");
       System.out.println();

       System.out.println("-----------------------------------------");
       System.out.println("create a new file named temp3.txt via FileUtil ...");       // 直接调用普通接口方式在工程 A 执行文件路径中创建 temp3.txt 文件
       FileUtil.makeFile("temp3.txt");
       System.out.println("-----------------------------------------");
       System.out.println();

       System.out.println("***************************************");
   }
}

至此代码已完。现在开始对安全开始授权,假设有以下授权策略文件(MyPolicy.txt)放在Y工程根目录下:

// 授权项目X的Java执行文件在其某目录中的写文件权限grant codebase "file:/D:/workspace/projectX/bin"{
 permission java.io.FilePermission   "D:\\workspace\\projectX\\bin\\*", "write";
};

即可指定安全文件运行程序:

java -Djava.security.policy=.\\MyPolicy.txt -classpath
D:\workspace\projectY\bin;D:\workspace\projectX\bin demo.security.DemoDoPrivilege

执行结果:

***************************************
I will show AccessControl functionality...
Preparation step : turn on system permission check...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Create a new file named temp1.txt via privileged action ...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~////////////////////////////////////////Create a new file named temp2.txt via File ...
java.security.AccessControlException: Access denied (java.io.FilePermission
     D:\workspace\projectX\bin\temp2.txt write)
    at java.security.AccessController.checkPermission(AccessController.java:108)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:533)
    at java.lang.SecurityManager.checkWrite(SecurityManager.java:963)
    at java.io.File.createNewFile(File.java:882)
    at demo.security.DemoDoPrivilege.main(DemoDoPrivilege.java:32)////////////////////////////////////////----------------------------------------
create a new file named temp3.txt via FileUtil ...
java.security.AccessControlException: Access denied (java.io.FilePermission
    D:\workspace\projectX\bin\temp3.txt write)
    at java.security.AccessController.checkPermission(AccessController.java:108)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:533)
    at java.lang.SecurityManager.checkWrite(SecurityManager.java:963)
    at java.io.File.createNewFile(File.java:882)
    at learn.java.security.FileUtil.makeFile(FileUtil.java:16)
    at demo.security.DemoDoPrivilege.main(DemoDoPrivilege.java:43)
----------------------------------------

***************************************

从执行结果可以看出,当安全模式生效时,Y项目通过普通接口(调用已有权限的代码)、自己创建的方式都无法在没有权限的目录下操作。只有通过特权访问(AccessController)的方式才成功。

可以看出,要想访问安全资源,要么在调用链上权限齐全(即自己有对应的权限),要么就有特权访问。

一直在说特权访问,从实现上看已大概了解特权访问了,那实际上又是什么呢?

3. 特权访问

在Java中执行程序分为本地和远程两种,本地代码默认都是可信任的,而远程代码被看作不受信的。在以前的Java版本中,不授信的远程代码基于沙箱机制,只能访问限定在JVM特定的运行范围中,并严格控制代码对本地资源的访问。而本地代码可以访问一切本地资源。有效隔离远程代码,防止对本地系统造成破坏。

关于Java安全机制的发展史可参考上面关于安全机制的链接。

发展到现在,安全模型引入了域的概念。将代码加载到不同的系统域和应用域,系统域负责与关键资源交互,各应用域通过系统域的代理对各种需要的资源进行访问(如上述Y项目通过X项目对资源进行写入)。虚拟机不同的受保护域,对应不一样的权限(permission)。存在域中的类文件就有了当前域的全部权限(如上述X项目有X域的权限而Y项目没有)


Java最新安全模型.png

看过整个的安全模型,在用法上,最常用就是上述的API(doPrivileged),能使一段受信代码获得最大权限,甚至比调用他的应用程序还多(如Y调用X,明显比Y权限多),可临时访问更多资源。

主要用于一些特殊应用场景:应用无法直接访问某些系统资源,但应用又必须得到这些资源才能完成功能。doPrivileged让程序突破当前域权限限制,临时扩大访问权限。

AccessController的工作机制:

在某个线程调用栈中,当AccessController的checkPermission方法被最近调用程序(如上述代码创建文件时)调用时,对于程序要求的访问权限,ACC决定是否授权算法如下:

  1. 如果调用链中某个调用程序没有需要的权限,抛出AccessControlException(如上述代码Y无权限)

  2. 满足以下情况即被授权

  • 调用程序访问另一个有该权限的方法,且此方法标记为有访问特权(如上述代码Y调用X的特权方法)

  • 调用程序调用的(直接或间接)后续对象有权限(如上述代码X有权限)

回归问题本质

我们mmap也没有使用外部远程代码,何必用AccessController这么复杂,直接把AccessController去掉试一下。实际上看貌似也是没问题的。那为什么那么多的例子都是用AccessController来释放资源呢?

但由于Cleaner是在rt.jar包中,所以有可能会出现没有权限访问的情况,jvm把其加入不同域中。暂时来看只是猜测。

            


作者:酱君挺怎样
链接:https://www.jianshu.com/p/81985bc2bfa3


打开App,阅读手记
0人推荐
发表评论
随时随地看视频慕课网APP