我有一个 Java 应用程序,用户可以在其中加载第三方“插件”以增强用户体验。存在供这些插件使用的 API,但出于安全考虑,应限制第三方软件访问内部应用程序类。插件的受限包是“com.example”,允许的是“com.example.api”。API 类确实调用了内部的混淆类。
在研究了这个之后,我遇到了 SecurityManager 的几个方法:checkMemberAccess(Class, int)和checkPackageAccess (String),它们似乎都是实现我目标的可行途径。但是,在做了一些测试和进一步研究之后,我发现checkMemberAccess只适用于反射调用,而checkPackageAccess只有在类加载器调用loadClass时才会被调用。
限制对包(com.example,但不是 com.example.api)的访问的合理方法是什么?
我建议为插件编写一个自定义类加载器,它将包的存在隐藏在com.example使用该类加载器加载的类中。通常类加载器委托给它们的父级,但是有几种实现方式只是部分或根本不这样做。我相信例如蚂蚁使用这种技术。当使用这样的类加载器加载时,任何与禁止功能链接的类都将无法加载。或者,如果实现使用了惰性链接,并且确实加载成功,那么在执行禁止代码期间它仍然会失败。
拒绝您的插件链接时访问被禁止的包后,您可以使用 SecurityManager 通过反射拒绝运行时访问,也可以拒绝创建可能用于绕过您的新类加载器。
class RestrictingClassLoader extends URLClassLoader {
@Override
public Class<?> loadClass(String name) throws ClassNotFoundException {
if (!name.startsWith("com.example.") || name.startsWith("com.example.api."))
return super.loadClass(name);
return findClass(name);
}
}
class RestrictingSecurityManager extends SecurityManager {
private boolean isRestricted() {
for (Class<?> cls: getClassContext())
if (cls.getClassLoader() instanceof RestrictingClassLoader)
return true;
return false;
}
// Implement other checks based on isRestricted().
}