AccessControlException java.security.AccessControlException

Java.policy配置详解
最新推荐文章于 2023-11-08 15:51:41 发布
原创 最新推荐文章于 2023-11-08 15:51:41 发布 · 614 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Java #Security #EXT #.net #JVM

本文介绍Java2安全性通过java.policy文件确定程序许可权。该文件位于JDK安装目录下的特定路径,包含全局缺省策略。文章解释了如何为特定程序添加许可权及常见配置示例。
[color=red]%JAVA_HOME%--皆指代jdk的安装目录[/color]

[b]java.policy 文件许可权[/b]

Java 2 安全性使用几个策略文件确定每个 Java 程序的已授权许可权。

java.policy 文件是节点上的 Java 虚拟机(JVM)中运行的所有 Java 程序共享的全局缺省策略文件。更改 java.policy 文件对于节点是本地的。自动选取缺省 Java 策略。策略文件中的语法错误将导致应用程序服务器失败。更新的 java.policy 文件应用于本地节点上的所有 JVM 中运行的所有 Java 程序。重新启动程序,以使更新生效。建议不要修改此文件。如果节点上的某些 Java 程序需要特定更改,并且 java.policy 文件需要更新,那么请使用策略工具谨慎修改 java.policy 文件。有关更多信息,请参阅使用 PolicyTool 来编辑策略文件 。

[b]java.policy 文件的缺省许可权[/b]

java.policy 文件位于"%JAVA_HOME%\jre\lib\security"路径下。 其中包含缺省的许可权。

如果节点上的一些 Java 程序需要不是 java.policy 文件中定义为缺省值的许可权,那么考虑更新 java.policy 文件。大多数情况下,更新其他策略文件,而不是 java.policy 文件。缺少许可权将导致发生 java.security.AccessControlException 异常。缺少的许可权在异常信息中显示。
[quote]java.security.AccessControlException: access denied (java.io.FilePermission
%JAVA_HOME%\jre\lib\ext\xxx.jar read)[/quote]

当遇到此异常,并且程序确实需要允许的话,在 java.policy 文件中添加许可权。
[quote]grant codeBase "file:%JAVA_HOME%\jre\lib\ext\xxx.jar" {
permission java.io.FilePermission "%JAVA_HOME%\jre\lib\ext\xxx.jar","read";
};[/quote]

[b]常用配置[/b]
[quote]grant {

//对系统和用户目录“读”的权限
permission java.util.PropertyPermission “user.dir", “read";
permission java.util.PropertyPermission “user.home", “read";
permission java.util.PropertyPermission “java.home", “read";
permission java.util.PropertyPermission “java.class.path", “read";
permission java.util.PropertyPermission “user.name", “read";

//对线程和线程组的操作权限
permission java.lang.RuntimePermission “modifyThread";
permission java.lang.RuntimePermission “modifyThreadGroup";

//操作Socket端口的各种权限
permission java.net.SocketPermission “-", “listen";
permission java.net.SocketPermission “-", “accept";
permission java.net.SocketPermission “-", “connect";
permission java.net.SocketPermission “-", “read";
permission java.net.SocketPermission “-", “write";

//读写文件的权限
permission java.io.FilePermission “-", “read";
permission java.io.FilePermission “-", “write";

//退出系统的权限,例如System.exit(0)
permission java.lang.RuntimePermission “exitVM";
};[/quote]


本文参考:
1.http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/rsec_javapolicy.html

2.http://www.ehelper.com.cn/blog/post/java-policy.html
【ELK】ES插件开发问题(二)—— java.security.AccessControlException:access denied
断桥残雪D的博客
04-02 1万+
参考:1、自定义java.policy配置(如何让你的类禁止读写文件?禁止创建Socket对象?) - 优快云博客一、java.security错误样例完整的log如下Problem instantiating package manager. Using DefaultPackageManager. mars 28, 2018 5:45:29 AM com.carrotsearch.rando...
Elasticsearch启动报错:java.security.AccessControlException: access denied (“javax.management.MBeanTrustP
有问题请发邮箱dengyifanlittle@163.com进行讨论
04-27 3284
ES启动报错: java.security.AccessControlException: access denied ("javax.management.MBeanTrustPermission" "register") at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472) at java.lang.SecurityManager.ch...
Access denied (java.lang.RuntimePermission getClas
weixin_34162695的博客
05-09 538
今天在使用jetty做容器运行一个java web app时却给出了这样的错误: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 java.security.AccessControlException:accessdenied("j...
java.security.AccessControlException: access denied报错
deep_pit的博客
11-23 3090
遇到java.security.AccessControlException: access denied 这是访问权限不够。 解决方法: 修改Jre中的policy文件。 在eclipse中点开工程项目文件夹,再点击JRE System Library,下面有很多java 自带的jar包,可以看到jar包存放的位置。 在资源管理器中找到该位置 点击进入lib文件夹 里面有一个securit...
java.security.AccessControlException
涓涓细流,汇成波涛汹涌的大海
04-10 432
refurl:http://www.iteye.com/topic/334220
sqoop 报错Could not register mbeans java.security.AccessControlException: access denied (“javax.manage
hello_java_lcl的博客
07-29 1853
sqoop导出SqlServer数据库数据时,报错如下,但是前一天的定时任务执行该命令是没有异常的,今天修改了命令里面的问题,手动执行sqoop导出时,出现异常: 2020-07-29 10:33:48,532 main ERROR Could not register mbeans java.security.AccessControlException: access denied ("javax.management.MBeanTrustPermission" "register") 20/07
windchill 开发java.security.AccessControlException: access denied 的问题处理
Wonly_Wu的博客
07-26 983
作为一个windchill开发,常常会打开工作流查看节点信息什么的,郁闷的是谷歌浏览器老打不开工作流,IE浏览器吧又太low,经常页面卡死。建议安装一个32位谷歌浏览器 下面说一下常见的问题: java.security.AccessControlException: access denied (“java.net.SocketPermission” “127.0.0.1:5002” “conn...
Caused by: java.lang.RuntimeException: org.apache.hadoop.security.AccessControlException: Permission
qq_42826453的博客
01-10 1243
出错 Caused by: java.lang.RuntimeException: org.apache.hadoop.security.AccessControlException: Permission denied: user=hdfs, access=EXECUTE, inode="/tmp":hadoop:supergroup:drwxrwx--- at org.apache.hado...
java.security.AccessControlException: access denied (“java.net.SocketPermission“ “x.x.x.x:80“ “conn
yusanlei的博客
10-31 716
java.net.SocketPermission
java security_java.security.AccessControlException:
weixin_30376627的博客
02-16 505
java.security.AccessControlException:accessdenied(java.util.PropertyPermissionlogback.statusListenerClassread)atjava.security.AccessControlContext.checkPermission(AccessC...java.security.AccessControl...
遇到java.security.AccessControlException:access denied怎么办?
weixin_48885322的博客
11-08 1794
今天工作中遇到了如下报错,记录一下解决方案。这个问题出现在openjdk8启动网页端Java应用。
java.security.AccessControlException: access denied (java.lang.RuntimePermission accessDeclaredMembe
BestZhao的博客
08-15 6556
解决方法一:servers中找到tTomcat v7.0 Server at localhost 下方server option中Enable security的对号去掉解决方法二•1 找到工程所用jdk包的位置 打开jdk的jre中 •2 在目录下的security文件夹下找到java.policy文件: •3 打开文件,在permission java.lang.Runtime
java.security.AccessControlException: access denied (java.net.SocketPermission www.google.com:80 c
fay8048的博客
01-18 4031
Signed Applets contain a signature that users may use to verify the identity of the organization responsible for the Applet and confirm that it has not been modified since the signature was applied.
Tomcat – java.security.AccessControlException:拒绝访问(java.lang.RuntimePermission accessDeclaredMembers...
一名可爱的技术搬运工
06-01 1142
问题 正如我在先前的帖子中所说,Tomcat 5.5.25在策略文件中做了很多修改,这可能会增强Web应用程序的安全性,但同时也会引起很多问题,请参见另一条错误消息: SEVERE: Context initialization failed java.security.AccessControlException: access denied (java.lang.Run...
AccessControlException(Permission denied:user=hive,access=EXECUTE,inode=/tmp:root:supergroup:drwx)
zp17834994071的博客
06-16 3372
hive中使用聚合函数查询时,报错出现权限不够的问题 这时需要改tmp的读、写、执行权限 hdfs dfs -chmod -R 777 /tmp 在hadoop下的hdfs-site.xml添加配置取消权限 < property> < name>dfs.permissions < value>false </ property> 在重启服务就好了! 如果是用Zeepelin来操作的话,是因为把default.user改成了hive,导致权限不够,只需要把hi
java securityaccess_Java.security.Access.ControlException:访问被拒绝(“java.io.FilePermission中”,“[对象文件]”“读...
weixin_35530964的博客
02-28 707
我有经由小程序接收的Java程序一个二进制文件。我收到的文件是getParameter(file),并用java.io.FileInputStream(file)读取该文件。我把这个文件的Web服务器上,并通过JavaScript首先调用java程序,当我运行该程序,是存在的消息错误:Java.security.Access.ControlException: access denied("jav...
启动tomcat报错:java.security.AccessControlException: access denied....
crazywsp的博客
06-22 8424
启动tomcat报错:java.security.AccessControlException: access denied…. 解决方法: 首先判断自己所使用的是哪个JRE,然后找到其位置,修改相应文件。 例如:在eclipse中用的jdk位置是:E:\software\jdk1.7.0_60,找到文件–E:\software\jdk1.7.0_60\jre\lib\security下的j...
java连接打印机访问被拒绝_java.security.AccessControlException:访问被拒绝错误
weixin_32285357的博客
02-27 471
18:44:39,420 ERROR [io.undertow.request] UT005023:对/ dC / Hello的异常处理请求:java.security.AccessControlException:访问被拒绝(“java.lang.RuntimePermission”“org.jboss.as.server . 来自org.jboss的java.security.AccessCo...
Exception in thread "main" java.lang.IllegalStateException: java.security.AccessControlException: access denied ("java.lang.RuntimePermission" "getProtectionDomain") at org.springframework.boot.loader.ExecutableArchiveLauncher.<init>(ExecutableArchiveLauncher.java:43) at org.springframework.boot.loader.JarLauncher.<init>(JarLauncher.java:35) at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:51) Caused by: java.security.AccessControlException: access denied ("java.lang.RuntimePermission" "getProtectionDomain") at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472) at java.security.AccessController.checkPermission(AccessController.java:884) at java.lang.SecurityManager.checkPermission(SecurityManager.java:549) at java.lang.Class.getProtectionDomain(Class.java:2299) at org.springframework.boot.loader.Launcher.createArchive(Launcher.java:117) at org.springframework.boot.loader.ExecutableArchiveLauncher.<init>(ExecutableArchiveLauncher.java:40) ... 2 more
最新发布
11-12
<think>我们遇到了一个Spring Boot应用启动时的安全异常,具体是`AccessControlException`,表示缺少`java.lang.RuntimePermission`中的`getProtectionDomain`权限。 异常堆栈显示,在Spring Boot的`ExecutableArchiveLauncher`初始化时,尝试获取某个类的保护域(ProtectionDomain)时被安全管理器阻止。 原因分析: 当Java安全管理器(SecurityManager)启用时,应用程序代码执行某些敏感操作需要相应的权限。这里,`Class.getProtectionDomain()`方法需要`RuntimePermission("getProtectionDomain")`权限。 解决方案: 我们需要在安全策略文件中授予该权限。 步骤: 1. 定位或创建策略文件(如`my.policy`)。 2. 在策略文件中添加以下授权(grant)条目: grant { permission java.lang.RuntimePermission "getProtectionDomain"; }; 3. 启动应用时指定策略文件和安全管理器(如果尚未启用安全管理器则同时启用): java -Djava.security.manager -Djava.security.policy=my.policy -jar yourapp.jar 详细说明: - 如果应用已经启用了安全管理器(从异常看已经启用),则只需添加策略文件并确保该权限被授予。 - 如果策略文件中已有其他授权,则追加此权限即可。 注意:授予`getProtectionDomain`权限通常被认为是相对安全的,因为它只是获取保护域信息,不涉及修改。 但是,根据最小权限原则,我们应尽量缩小授权范围。例如,我们可以只给特定的代码源(codesource)授权,而不是所有代码。例如: grant codeBase "file:/path/to/your/spring-boot-loader.jar" { permission java.lang.RuntimePermission "getProtectionDomain"; }; 由于异常发生在Spring Boot的加载器(`org.springframework.boot.loader`包中),我们可以针对该jar文件进行授权。 如果不知道具体代码源,可以先使用通用授权,然后再细化。 另外,如果不想使用安全管理器,可以考虑禁用,但这样会降低安全性(不推荐): java -Djava.security.manager=disable -jar yourapp.jar 不过,在安全要求较高的环境中,建议保留安全管理器并配置正确的策略。 策略文件示例(my.policy): ``` grant codeBase "file:${java.home}/lib/-" { permission java.security.AllPermission; }; grant codeBase "file:${java.ext.dirs}/*" { permission java.security.AllPermission; }; // 授权给Spring Boot加载器 grant codeBase "file:/path/to/spring-boot-loader.jar" { permission java.lang.RuntimePermission "getProtectionDomain"; }; // 授权给应用程序自身 grant codeBase "file:/path/to/yourapp.jar" { // 这里添加应用程序所需的其他权限 }; ``` 注意:需要将`/path/to/spring-boot-loader.jar`替换为实际的jar路径。在Spring Boot可执行jar中,这个加载器通常位于jar文件内部,但实际加载时,它会作为jar的一部分。因此,我们可以使用包含该类的jar文件(即你的应用jar)的路径。但是,由于Spring Boot使用了特殊的类加载器,可能代码源是应用jar的URL。为了确定,可以在异常时打印保护域,或者使用以下方式查看: System.getProperty("java.security.debug")可以开启安全调试。 如果问题复杂,可以启用安全调试: java -Djava.security.debug=access,failure ... [其他参数] 这将输出详细的权限检查信息。 因此,我们首先尝试授予`getProtectionDomain`权限,如果问题仍未解决,再根据调试信息调整。 总结步骤: 1. 创建策略文件,添加必要的权限(包括`getProtectionDomain`)。 2. 启动时指定策略文件。 3. 如果还有权限问题,根据调试信息继续添加。 如果不想启用安全管理器,且确认应用不需要,也可以禁用(不推荐)。 针对这个异常,我们主要需要添加: permission java.lang.RuntimePermission "getProtectionDomain"; 但要注意,可能需要同时授予其他权限,因为应用启动可能还需要其他权限(如读取文件等)。 §§相关问题§§ 1. 如何精确确定Spring Boot应用在SecurityManager下所需的最小权限集合? 2. 在策略文件中使用codeBase授权时,如何定位到第三方库(如Spring Boot Loader)的具体路径? 3. 除了策略文件,还有哪些方法可以动态授予Java安全管理器的权限? 4. 为什么Java 17及以上版本弃用SecurityManager,替代方案是什么? 5. 如何通过安全调试(java.security.debug)诊断权限不足问题? </think>### 解决 Spring Boot 启动时的 `AccessControlException` 异常 #### 问题原因分析 该异常表明在启用 Java 安全管理器(SecurityManager)时,Spring Boot 启动过程缺少关键权限: ```markdown access denied ("java.lang.RuntimePermission" "getProtectionDomain") ``` 具体原因: 1. **权限缺失**:安全管理器阻止了`Class.getProtectionDomain()`调用,该操作需要`RuntimePermission` 2. **Spring Boot 特殊性**:可执行 JAR 启动器(`JarLauncher`)需要通过反射分析类保护域 3. **策略配置不足**:当前策略文件未授予`getProtectionDomain`权限 #### 解决方案 ##### 1. 修改策略文件(推荐) 创建/编辑策略文件(如 `boot.policy`): ```policy grant codeBase "file:${java.home}/lib/-" { permission java.security.AllPermission; }; grant codeBase "file:${user.dir}/your-app.jar" { // Spring Boot 启动器所需权限 permission java.lang.RuntimePermission "getProtectionDomain"; permission java.lang.RuntimePermission "accessDeclaredMembers"; // 应用基本权限 permission java.io.FilePermission "<<ALL FILES>>", "read"; permission java.util.PropertyPermission "*", "read"; }; ``` 启动命令: ```bash java -Djava.security.manager -Djava.security.policy=boot.policy -jar your-app.jar ``` ##### 2. 安全启动脚本 通过脚本动态授权(`secure_launch.sh`): ```bash #!/bin/bash # 生成临时策略文件 cat > /tmp/boot_temp.policy <<EOF grant { permission java.lang.RuntimePermission "getProtectionDomain"; }; EOF # 带策略启动 java -Djava.security.manager -Djava.security.policy==/tmp/boot_temp.policy -jar "$1" ``` ##### 3. 代码端解决方案 在 `main` 方法开头添加权限检查: ```java public static void main(String[] args) { // 绕过 Spring Boot 启动器的权限检查 AccessController.doPrivileged((PrivilegedAction<Void>) () -> { System.setSecurityManager(new SecurityManager() { @Override public void checkPermission(Permission perm) { if ("getProtectionDomain".equals(perm.getName())) { return; // 显式允许 } super.checkPermission(perm); } }); return null; }); // 原启动代码 SpringApplication.run(YourApp.class, args); } ``` #### 替代方案(Java 17+) 由于 `SecurityManager` 在 Java 17 后已弃用,建议: ```java // 在 module-info.java 中开放反射权限 open module your.module { requires spring.boot.loader; opens your.package to spring.boot.loader; } ``` #### 验证步骤 1. 启用安全调试: ```bash java -Djava.security.debug=access:failure -jar your-app.jar ``` 2. 检查输出中的 `access allowed` 日志 > **重要提示**:仅在生产环境必需时启用安全管理器,开发环境可通过 `-Djava.security.manager=disable` 临时禁用。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值