11

在阅读和扫描旧代码时,我看到了这些代码行:

public static void replaceNull(Object obj)
{
    if (obj == null)
    {
        return;
    }

    Field[] fields = obj.getClass().getDeclaredFields();
    if (fields != null)
    {
        for (Field field : fields)
        {
            field.setAccessible(true);
            Class<?> fieldType = field.getType();
            try
            {
                if (field.get(obj) == null)
                {
                    setDefaultValue(obj, field, fieldType);
                }
            } catch (IllegalArgumentException e)
            {
                logger. error("failed replacing null :"+ e.getMessage(),e);
            } catch (IllegalAccessException e)
            {
                logger. error("failed replacing null :"+ e.getMessage(),e);
            }

        }
    }
}

   private static void setDefaultValue(Object obj, Field field, Class<?> fieldType) throws IllegalAccessException
{
    if (fieldType == String.class)
    {
        field.set(obj, CommonConstants.BLANK);

    } else if (fieldType == Date.class)
    {
        field.set(obj, new Date());
    } else if (fieldType == Long.class)
    {
        field.setLong(obj, 0L);
    } else if (fieldType == Integer.class)
    {
        field.setInt(obj, 0);
    } else if (fieldType == BigDecimal.class)
    {
        field.set(obj, new BigDecimal("0.0"));
    }
}

从程序的流程来看,如果值为空,编写者似乎希望为对象的所有数据成员创建一个默认值。

在使用 FindBugs 进行扫描时,findbugs 报告了“DP_DO_INSIDE_DO_PRIVILEGED”,并在 setAccessible(true) 上有以下描述:

不好的做法 - 调用的方法只能在 doPrivileged 块内调用 插件:findbugs 键:DP_DO_INSIDE_DO_PRIVILEGED 此代码调用需要安全权限检查的方法。如果此代码将被授予安全权限,但可能被没有安全权限的代码调用,则调用需要在 doPrivileged 块内进行。

我的问题为什么这么糟糕?我应该如何解决它?

4

2 回答 2

9

来自 Javadocs field#setAccessible(boolean)

首先,如果存在安全管理器,则使用 ReflectPermission("suppressAccessChecks") 权限调用其 checkPermission 方法。

如果没有SecurityManager安装,该程序将运行良好。但是,假设您的代码是作为共享库编写的,并且它恰好被某个设置了安全管理器的模块使用。在这种情况下,field.setAccessible(true)即使您的代码中的此操作和其他操作被视为受信任代码,也可能会被拒绝权限。这就是 FindBugs 发出此警告的原因。

为了保证field.setAccessible(true)无论调用者代码的权限如何都始终被授予权限,您可以将语句包装在 a 中AccessController.doPrivileged(您必须将其设为fieldfinal):

AccessController.doPrivileged(new PrivilegedAction() {
    @Override
    public Object run() {
        field.setAccessible(true);
        return null;
    }
});
于 2014-11-08T22:15:43.973 回答
3

除了上面接受的答案之外,使用 Java 1.7+ lambda 表达式,同样可以通过以下方式实现:

AccessController.doPrivileged((PrivilegedAction) () -> {
    field.setAccessible(true);
    return null;
});
于 2017-03-25T06:15:32.310 回答