5、静态访问控制的系统方法

静态访问控制的系统方法

在软件开发中，安全问题一直是至关重要的。特别是在像 Java 这样的广泛使用的编程语言中，如何有效地控制对资源的访问是一个关键挑战。本文将介绍一种系统的方法来实现静态访问控制，通过类型系统在编译时检查访问控制违规，而不是在运行时才发现问题。

1. 引言

Java 安全架构从 JDK 1.2 版本开始引入了动态检查机制来执行访问控制决策，这种机制被称为栈检查（stack inspection）。然而，我们的目标是通过扩展类型系统，将部分或全部的访问控制决策提前到编译时进行。这样做的好处是可以在编译阶段就捕获访问控制违规，避免在运行时出现安全漏洞。同时，类型（无论是推断得出还是由程序员提供）将构成安全策略的规范。

在 Java 安全架构中，程序员可以在代码中添加 doPrivileged 和 checkPrivilege 命令来使用访问控制系统。在运行时， doPrivileged 命令会在当前栈帧中添加一个标志，允许执行特定的特权操作。当栈帧弹出时，该标志会被隐式消除。当通过 checkPrivilege 命令检查特权时，会从最近的栈帧开始搜索，直到找到带有所需标志的栈帧，搜索才会停止，检查成功。此外，每个栈帧都会标注其所有者（即被调用方法的所有者），并且所有被搜索的栈帧的所有者必须是被授权使用该特权的主体。这可以防止在 doPrivileged 命令处于栈中时，由可信代码库调用的非法代码执行特权操作。

本文在之前的访问控制类型系统基础上，采用了一种更模块化的方法来构建类型系统。我们将安全类