Reflexion-Sicherheit

Durchsetzung Reflexion-Sicherheit durch die nicht zulassen, dass die Method, Field, Constructor Objekt aufrufen setAccessible(true) ? SecurityPolicy-Datei oder etwas anderes?

In der Regel für stand-alone-Java-Anwendungen gibt es keine SecurityManager registriert.

Ich mit dieser System.setSecurityManager(new SecurityManager());

Dieser Ansatz funktionieren wird für das aufrufen von Methoden.

Möchte ich durchsetzen das ganze jar-oder client-code verwendet, der jar ist nicht erlaubt, den Anruf setAccessible(true);

Keine besseren Ansatz ?

Dank.

InformationsquelleAutor nicholas | 2013-02-01
  1. 3

    Ähm, es hat Arbeit für setAccessible. Siehe:

    class A {
  private String method1() {
    return "Hello World!";
  }
}

    und

    import java.lang.reflect.Method;

class B {
  public static void main(String[] args) throws Exception {
    System.setSecurityManager(new SecurityManager());
    Class clazz = A.class;
    Method m = clazz.getDeclaredMethod("method1");
    m.setAccessible(true);
  }
}

    Ergebnisse in

    Exception in thread "main" java.security.AccessControlException: access denied ("java.lang.reflect.ReflectPermission" "suppressAccessChecks")
        at java.security.AccessControlContext.checkPermission(Unknown Source)
        at java.security.AccessController.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkPermission(Unknown Source)
        at java.lang.reflect.AccessibleObject.setAccessible(Unknown Source)
        at B.main(B.java:8)

    Grund, warum es vielleicht nicht für Sie gearbeitet ist, dass nach Aussagen in dieser Beitrag es nicht für die Arbeit in Java 1.5, aber die arbeiten sind in 6-und danach.

    Edit: zu verweigern, die es für bestimmte Gläser haben, müssen Sie entweder verwenden Sie eine policy-Datei, Beispiel:

    //specific file
grant codeBase "file:/test/path/tools.jar" {
  //no permissions for this one
};

//default to giving all
grant {
  permission java.security.AllPermission;
};

    Gibt es zwei Möglichkeiten, Angabe der policy-Datei, entweder als Ergänzungen zu Standard-oder nur diejenigen, die angegeben sind (Quelle):

    Wenn Sie

    java -Djava.security.manager -Djava.security.policy==someURL SomeApp

    (beachten Sie das doppelte Gleichheitszeichen) dann einfach die angegebene policy-Datei
    verwendet; alle diejenigen angegeben, die in die Sicherheits-Eigenschaften-Datei
    ignoriert.

    ...oder implementieren Sie einen benutzerdefinierten Sicherheits-manager, die sieht nicht so schwer. Noch nicht gemacht, dass ich selbst, obwohl.

    • Es scheint zu sein ein anderer thread über das gleiche Thema, auch.
    • Ich möchte erzwingen, keine Berufung zu setAccessible Methode in meine apps.
    • ja, und ich habe geantwortet, dass Sie tun können, dass mit SecurityManager?
    • Wie man das mit SecurityManager ? u mean benutzerdefinierten Sicherheits-manager ?
    • Nein, mit standard, wie in meinem Beispiel. aber würden Sie brauchen, um entweder eine policy-Datei oder mit einem benutzerdefinierten Sicherheits-manager, um es zu leugnen nur für bestimmte jar(s).
    InformationsquelleAutor eis
Schreibe einen Kommentar