8

如何通过不允许Method, Field,Constructor对象调用来强制反射安全setAccessible(true)?SecurityPolicy 文件或其他内容?

通常对于独立的 Java 应用程序没有SecurityManager注册。

我用这个System.setSecurityManager(new SecurityManager());

这种方法适用于调用方法。

我想强制执行整个 jar 或使用 jar 的客户端代码不允许调用setAccessible(true);

有更好的方法吗?

谢谢。

4

1 回答 1

5

嗯,它确实适用于 setAccessible。看:

class A {
  private String method1() {
    return "Hello World!";
  }
}

import java.lang.reflect.Method;

class B {
  public static void main(String[] args) throws Exception {
    System.setSecurityManager(new SecurityManager());
    Class clazz = A.class;
    Method m = clazz.getDeclaredMethod("method1");
    m.setAccessible(true);
  }
}

结果是

Exception in thread "main" java.security.AccessControlException: access denied ("java.lang.reflect.ReflectPermission" "suppressAccessChecks")
        at java.security.AccessControlContext.checkPermission(Unknown Source)
        at java.security.AccessController.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkPermission(Unknown Source)
        at java.lang.reflect.AccessibleObject.setAccessible(Unknown Source)
        at B.main(B.java:8)

它可能对您不起作用的一个原因是,根据这篇文章中的评论,它不能在 Java 1.5 中工作,而是在 6 及之后的版本中工作。


编辑:要拒绝特定罐子,您需要使用策略文件,例如:

// specific file
grant codeBase "file:/test/path/tools.jar" {
  // no permissions for this one
};

// default to giving all
grant {
  permission java.security.AllPermission;
};

有两种指定策略文件的方法,要么将其作为默认值的补充,要么仅提供指定的策略文件(source):

如果你使用

java -Djava.security.manager -Djava.security.policy==someURL SomeApp

(注意双等号)然后只使用指定的策略文件;安全属性文件中指示的所有内容都将被忽略。

...或者实现一个自定义的安全管理器,这看起来并不难。虽然我自己没有这样做。

于 2013-02-01T10:53:08.193 回答