首页 > 编程语言 >【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)

时间:2023-04-13 18:03:29浏览次数:36  
标签:文件 管理器 SecurityManager 盲点 安全 Java 权限

前提介绍

Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是Java本身语言的制定开发者,所以第一个安全性不需要我们考虑。其中第二个安全性是我们重点考虑的问题,一般我们可以通过安全管理器机制来完善安全性,安全管理器是安全的实施者,可对此类进行扩展,它提供了加在应用程序上的安全措施,通过配置安全策略文件达到对网络、本地文件和程序其它部分的访问限制的效果。

安全管理器的作用

当Java应用程序运行时,它们可以访问计算机上的资源,例如文件系统、网络、系统属性等。SecurityManager是Java中的一个类,它允许开发人员控制应用程序对这些资源的访问。SecurityManager可以实现以下功能:

  1. 安全策略管理:SecurityManager可以实现安全策略管理,以确保应用程序只能访问它们被授权访问的资源。
  2. 访问控制:SecurityManager可以实现访问控制,以确保应用程序只能访问它们被授权访问的资源。
  3. 权限管理:SecurityManager可以实现权限管理,以确保应用程序只能执行它们被授权执行的操作。
  4. 安全审计:SecurityManager可以实现安全审计,以记录应用程序对资源的访问和操作。

在Java中,可以通过System.setSecurityManager()方法来设置SecurityManager。开发人员可以编写自己的SecurityManager类,以实现自定义的安全策略管理、访问控制、权限管理和安全审计功能。

安全管理机制

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)_安全管理

上图展示了安全管理器的工作机制,当运行Java程序时,安全管理器会根据policy文件所描述的策略给程序不同模块分配权限,假设把应用程序分成了三块,每块都有不同的权限,第一块有读取某文件的权限,第二块同时拥有读取某文件跟内存的权限,第三块有监听socket的权限。通过这个机制就能很好地控制程序各个部分的各种操作权限,从应用层上为我们提供了安全管理策略。

检查操作权限

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)_应用程序_02

上图为安全管理器对文件操作进行管理的工作过程,当应用程序要读取本地文件时,securitymanager就会在读取前进行拦截,判断是否有读取此文件的权限,如果有则顺利读取,否则将抛出访问异常。SecurityManager类中提供了很多检查权限的方法,例如checkPermission方法会根据安全策略文件描述的权限对操作进行判断是否有操作权限,而checkRead方法则用于判断对文件访问权限。一旦发现没有权限都会抛出安全异常。

开启安全管理器

一般而言,Java程序启动时并不会自动启动安全管理器,可以通过以下两种方法启动安全管理器:

  • 一种是隐式,启动默认的安全管理器最简单的方法就是:直接在启动命令中添加-Djava.security.manager参数即可。
  • 一种是显式,实例化一个java.lang.SecurityManager或继承它的子类的对象,然后通过System.setSecurityManager()来设置并启动一个安全管理器。

在启动安全管理器时可以通过-Djava.security.policy选项来指定安全策略文件。如果没有指定策略文件的路径,那么安全管理器将使用默认的安全策略文件,它位于%JAVA_HOME%/jre/lib/security目录下面的java.policy。需要说明一下的是,=表示这个策略文件将和默认的策略文件一同发挥作用;==表示只使用这个策略文件。

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)_应用程序_03

policy文件包含了多个grant语句,每一个grant描述某些代码拥有某些操作的权限。在启动安全管理器时会根据policy文件生成一个Policy对象,任何时候一个应用程序只能有一个Policy对象。那么如何才能实现自己的安全管理器,并且配置权限呢?下面将通过一个简单的例子阐明实现步骤,一般可以分为以下两步:

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)_应用程序_04

  • 创建一个SecurityManager子类,并根据需要重写一些方法。
  • 根据应用程序代码的权限需要配置策略文件。如果使用默认安全管理器则省略第一步,下面用个例子说明安全管理器的使用:
public class SecurityManagerTest {
        public static void main(String[] args) throws FileNotFoundException {
         System.out.println("SecurityManager: " + System.getSecurityManager());
         FileInputStream fis = new FileInputStream("c:\\protect.txt");
         System.out.println(System.getProperty("file.encoding"));
        }
}

分下面几种情况运行程序:

  1. 假如不添加启动参数直接运行,则相当于没有启动安全管理器,SecurityManager打印出来为null,且能正确读取protect.txt文件跟file.encoding属性。
  2. 添加启动参数-Djava.security.manager-Djava.security.policy=c:/protect.policy,俩参数分别代表启动默认安全管理器和指明策略配置文件路径。此时SecurityManager打印出来为不为null,但由于此时protect.policy里面并没有做任何授权,所以在读取文件的时就抛出AccessControlExcepti on异常。
  3. 在protect.policy文件添加以下授权语句,
grant {
	permissionjava.io.FilePermission "c:/protect.txt", "read";
};

此时SecurityManager不为空,并且有权限读取protect.txt文件,但最终还是会抛一个AccessControlException异常,因为并没有权限读取file.encoding系统属性。

  1. 将protect.policy授权语句改为如下:
grant {
	permissionjava.io.FilePermission "c:/protect.txt", "read";
	permissionjava.util.PropertyPermission "file.encoding", "read";
};

这次读取文件跟读取系统属性的权限都有了,程序正常运行,不再抛出安全异常。由上面几种情况我们清晰了解安全管理器的使用,通过简单地配置策略文件能达到应用安全的管理。Java的Permission类是用来定义类所拥有的权限,Java本身包括了一些 Permission类,如下:

【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager)_Java_05

标签:文件,管理器,SecurityManager,盲点,安全,Java,权限
From: https://blog.51cto.com/alex4dream/6188291

相关文章

  • Java项目开启JMX:Prometheus数据上报
    对于Java项目而言,开启JMX进行JVM监控是很有必要的,可以帮忙开发人员分析、定位问题常规开启JavaJMX方法一般可以在启动脚本中添加相关的参数-Dcom.sun.management.jmxremote.port=6543-Dcom.sun.management.jmxremote.authenticate=false-Dcom.sun.management.jmxremote.ssl=......
  • Spring IOC容器注解大全—基于Java的容器配置
    本节介绍了如何在你的Java代码中使用注解来配置Spring容器。它包括以下主题。基本概念:@Bean 和 @Configuration通过使用 AnnotationConfigApplicationContext 实例化Spring容器使用 @Bean 注解使用 @Configuration 注解构建基于Java的配置Bean定义配置PropertySource 抽象......
  • 万字详解 | Java 流式编程
    概述StreamAPI是Java中引入的一种新的数据处理方法。它提供了一种高效且易于使用的方法来处理数据集合。StreamAPI支持函数式编程,可以让我们以简洁、优雅的方式进行数据操作,还有使用Stream的两大原因:在大多数情况下,将对象存储在集合中就是为了处理它们,因此你会发现你把编程......
  • javaweb验证码
    publicclassmyfunction{publicstaticStringgetRandString(intlength){Stringstr="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";Randomrandom=newRandom();StringBuffersb=newStringBuffe......
  • Java实现:分治法求最近点对
    /*问题1:如何解决cannotbecasttojava.lang.Comparable问题?产生原因:TreeSet的特点是可排序、不重复,即TreeSet要求存放的对象必须是可排序的。如果对象之间不可排序,就会抛出这个异常。解决:实现Comparable接口问题2:JavaArrayListtoArray()方法解决:https://www.runoo......
  • Java集成工作流审批机制,多个项目实际运用优化版本(干货)
    前言activiti工作流引擎项目,企业erp、oa、hr、crm等企事业办公系统轻松落地,一套完整并且实际运用在多套项目中的案例,满足日常业务流程审批需求。一、项目形式springboot+vue+activiti集成了activiti在线编辑器,流行的前后端分离部署开发模式,快速开发平台,可插拔工作流服务。工作......
  • java.io.Serializable(序列化)接口
     一、概念Java对象序列化的意思就是将对象的状态转化成字节流,以后可以通过这些值再生成相同状态的对象。对象序列化是对象持久化的一种实现方法,它是将对象的属性和方法转化为一种序列化的形式用于存储和传输。反序列化就是根据这些保存的信息重建对象的过程。序......
  • Java常用实体类介绍:POJO、Domain、DO、DTO、VO
    POJOPOJO是PlainOldJavaObject的简称,它指的是一个没有限制或要求下的纯平对象。POJO用于表示没有任何框架或技术限制的纯数据对象。在Java开发中,POJO通常用于简化复杂对象和降低对象的耦合度,是面向对象编程中"高内聚、低耦合"设计思想的体现。示例代码:@Datapublic......
  • JavaScript黑科技:变量监听
    作者:JShaman团队,转载请保留功能目标实时监视一个变量的值,当值发生改变时,马上给出提示。实现方法一直观且朴素的方法,可以用setInterval,循环检测变量的值,示例代码:<html><body><script>//要监视的变量vartest_value=1;setInterval(function(){......
  • java故障处理(三)远程debug
    转载:https://blog.51cto.com/u_11554106/4930697一、remotedebug何为远程debug呢?通常我们在开发过程中,都会将代码部署到服务中,这个时候QA提出了一个bug,通过查看代码的逻辑发现问题十分的困难?一般情况下都是想着本地能不能复现一下,本地debug调试一下;或者通过arthas进行相关......