认识java安全管理器SecurityManager

原创 已于 2022-01-30 15:17:05 修改 · 4.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全

于 2022-01-30 14:38:37 首次发布
本文介绍了Java安全管理器的概念,其用于控制代码的权限,防止恶意代码破坏系统。讲解了启用安全管理器的两种方式,推荐使用启动参数方式,并解析了安全管理器配置文件的原则和实例。此外,还展示了代码中如何使用SecurityManager的checkXXX方法来检查权限。

1,什么是Java安全管理器?

SecurityManager
在看java源码的过程中,经常会遇到如下一段代码:

SecurityManager s = System.getSecurityManager();
ThreadGroup group = (s != null) ? 
s.getThreadGroup():Thread.currentThread().getThreadGroup()


SecurityManager security = System.getSecurityManager();
if (security != null) {
    security.checkWrite(name);
}

要想了解它们有什么功能,就需要对Java安全管理器有一定的认识。

2,Java安全管理器的使用场景?

当运行未知的java程序时,该程序可能含有恶意代码,如删除系统文件等恶意操作,为了防止恶意代码对系统的破坏,需要对运行代码的权限进行控制,这时候就需要启用java安全管理器。

3,如何启用java安全管理器?

方式1:启动参数方式 (推荐方式)

-Djava.security.manager

若同时需要指定安全管理器配置文件的位置使用如下参数,默认的配置文件按在**$JAVA_HOME/jre/lib/security/java.policy**

-Djava.security.manager -Djava.security.policy="E:/java.policy"

虽然通过启动参数指定,本质上也是通过代码方式启动,但是方式更灵活。原理可查看启动类 sun.misc.Launcher类,有如下一段代码

public Launcher() {
        Launcher.ExtClassLoader var1;
        try {
            var1 = Launcher.ExtClassLoader.getExtClassLoader();
        } catch (IOException var10) {
            throw new InternalError("Could not create extension class loader", var10);
        }

        try {
            this.loader = Launcher.AppClassLoader.getAppClassLoader(var1);
        } catch (IOException var9) {
            throw new InternalError("Could not create application class loader", var9);
        }

        Thread.currentThread().setContextClassLoader(this.loader);
        String var2 = System.getProperty("java.security.manager");
        if (var2 != null) {
            SecurityManager var3 = null;
            if (!"".equals(var2) && !"default".equals(var2)) {
                try {
                    var3 = (SecurityManager)this.loader.loadClass(var2).newInstance();
                } catch (IllegalAccessException var5) {
                } catch (InstantiationException var6) {
                } catch (ClassNotFoundException var7) {
                } catch (ClassCastException var8) {
                }
            } else {
                var3 = new SecurityManager();
            }

            if (var3 == null) {
                throw new InternalError("Could not create SecurityManager: " + var2);
            }

            System.setSecurityManager(var3);
        }

    }

方式2:编码方式启动(不推荐,不灵活)

System.setSecurityManager(new SecurityManager());

4,安全管理器配置文件解释

4.1 配置原则

  1. 没有配置的权限表示不具有权限
  2. 只能配置有什么权限,不能配置禁用什么权限
  3. 多种权限可用逗号分隔

4.2 配置文件解释

// 表示授权路径在 file:${{java.ext.dirs}}/* 
// 的所有jar和class 文件具有他们的权限
grant codeBase "file:${{java.ext.dirs}}/*" {
    permission java.security.AllPermission;
};
grant {
        // 如下都是一些细粒度的权限,可查资料了解,举几个例子
		// 授权  运行时权限   通过stop来停止线程
        permission java.lang.RuntimePermission "stopThread";
        // 授权  socket权限  监听权限
        permission java.net.SocketPermission "localhost:0", "listen";
        // 能读取java版本的权限
        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};

5,代码中使用java安全管理器场景

SecurityManager 实例包含了许多 checkXXX 的方法,表示检查是否具备对应的权限,如

sm.checkDelete("D:\\xx.txt");  // 是否具有指定文件的删除权限

当开启java安全管理器后,若没有对应的权限而执行了,就会抛出无权限的异常

Launcher failed - "Dump Threads" and "Exit" actions are unavailable (access denied ("java.io.FilePermission" "D:\install\IntelliJIDEA2020.1\bin\breakgen64.dll" "read"))
Exception in thread "main" java.security.AccessControlException: access denied ("java.io.FilePermission" "D:\xx.txt" "delete")
	at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
	at java.security.AccessController.checkPermission(AccessController.java:886)
	at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
	at java.lang.SecurityManager.checkDelete(SecurityManager.java:1007)
	at org.example.controller.SecurityManagerDemo.main(SecurityManagerDemo.java:8)

对于这类问题,我们只需要在安全管理器对应的配置文件中添加对应权限或者不启用安全管理器即可,如:

permission java.io.FilePermission "D:\\xx.txt","delete";

案例1:文件删除
查看 File 类的 delete 方法源码如下:

public boolean delete() {
  		SecurityManager security = System.getSecurityManager();
        if (security != null) {
            security.checkDelete(path);
        }
        if (isInvalid()) {
            return false;
        }
        return fs.delete(this);
    }

可以看出,在执行删除时,会用先获取安全管理器,然后调用checkDelete(path) 方法,检查是否具有该文件的删除权限。

Java安全管理器——SecurityManager
seaboat——a free boat on the sea.(公众号:远洋号)
08-11 8569
总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是Java本身语言的制定开发者,所以第一个安全性不需要我们考虑。其中第二个安全性是我们重点考虑的问题,一般我们可以通过安全管理器机制来完善安全性,安全管理器安全的实施者,可对此类进行扩展,它提供了加在应用程序上的安全措施,通过配置安全策略文件达到对网络、
【JVM与性能调优】Java中的安全管理器SecurityManager入门介绍
奶爸的编程之路,也就一周冷个三天,欢迎关注我的微信公众号:本本本添哥
04-09 3280
通过SecurityManager,可以限制Java应用程序对以下资源的访问:文件系统:包括读、写、执行等操作。网络:包括建立连接、发送和接收数据等操作。反射:包括调用私有方法、修改final字段等操作。类加载器:包括设置类加载器、定义安全上下文等操作。
Java安全管理器-SecurityManager
sunyingboaini的博客
04-11 3341
SecurityManagerJava中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
揭秘Java 17重大调整:为何SecurityManager终于退出历史舞台?
最新发布
PixelWander的博客
10-31 989
揭秘Java 17重大调整,解析为何SecurityManager被弃用。Java 17 弃用 SecurityManager 源于其复杂难用且防护效果有限,现代应用更依赖模块化和沙箱机制。了解替代方案与迁移策略,掌握安全演进方向,值得收藏。
Java安全管理器(Security Manager)
yuanyong
03-15 264
每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意代码,此...
JavaSecurityManager安全管理器
we.think
10-19 4415
目录一、 启停安全管理器1.1 启用1.2 关闭二、安全策略2.1 默认配置2.2 策略准则三、SecurityManager3.1 概要描述3.2 方法摘要3.3 使用 SecurityManager是一个允许应用实现一种安全策略的类。应用在执行一个安全或敏感的操作之前,可以明确此操作是否在一个安全的上下文中被执行。 一、 启停安全管理器 1.1 启用 系统启动开启 JVM参数:-Djava.security.manager 当运行一个程序,可以指定JVM命令-Djava.security.manage
Java沙箱机制的实现——安全管理器、访问控制器
周二Show
06-01 1795
一、Java沙箱机制 Java沙箱(sandbox)是Java安全模型的核心,那如何理解沙箱呢? 我们知道如果默认不作任何配置,我们所写的程序是可以直接访问机器上的任意资源的,例如操作文件、网络请求等。而当我们把程序运行在服务器时,如果不对程序加以限制,那么将大大增加系统的安全隐患。更甭提我们的程序中有部分代码并不是我们自己实现的,而是网络上的轮子。为了解决这种隐患,便有了沙箱机制。沙箱机制其实就是一个可以用来限制你程序运行的环境。 Java提供了沙箱机制,我们一般所说的打开沙箱,也是加-Djava.sec
密码学及其应用 —— Java中的安全
weixin_65190179的博客
06-26 1246
一个哈希函数用于计算文本的固定大小的“加密摘要”确保发送者身份和消息完整性除了这些预定义的模块,也可以根据具体需求实现自定义的`LoginModule`,或者购买第三方提供的模块。自定义的`LoginModule`可以用于支持特定的认证方法,如:使用数据库存储的用户名和密码进行认证。使用文件系统中的文件,例如存储有用户凭证的文件进行认证。使用一些外部服务,比如OAuth提供商进行认证。
Java——认识Java
Stewie Lee的博客
05-26 1064
JavaSE(J2SE)(Java2 Platform Standard Edition,java平台标准版)JavaEE(J2EE) (Java 2 Platform,Enterprise Edition,java平台企业版)JavaME(J2ME) (Java 2 Platform Micro Edition,java平台微型版)。后来里的J2SE、J2EE和J2ME中的2被去掉,变成了现在的JavaSE、JavaEE和JavaME。
16、Java Web 安全技术深度解析
06-29 66
本文深入解析了Java Web开发中的关键安全技术,包括数字证书、SSL协议以及Servlet的安全策略。文章详细介绍了公钥密码学的基础知识、数字签名的作用、SSL的工作原理以及Servlet的沙箱模型和细粒度权限控制。此外,还探讨了这些技术在电商平台、企业内部系统等实际场景中的应用,并展望了未来安全技术的发展趋势,如量子加密和人工智能在安全领域的应用。通过合理选择和配置这些安全技术,开发者可以构建更加可靠和安全Java Web应用环境。
JRE高级特性揭秘:类加载器和安全管理器的威力
本文深入探讨了JRE的内部机制,特别是Java类加载器的多层次结构、加载过程以及高级用法,以及Java安全管理器的原理与实践。通过分析类加载器和安全管理器的综合应用,文章展示了类隔离技术、动态安全策略调整和高级...
security-manager:Java Security Manager的定制实现,旨在为Web应用程序提供额外的保护和保证
04-28
安全经理 Java安全管理器的定制实现,旨在为Web应用程序提供额外的保护和保证。 它允许使用更灵活的许可算法,以更好地满足J2EE环境的安全需求。 背景 默认的Java安全管理器实现被设计为用于不受信任的代码的通用沙箱。 典型案例是在网页上运行小程序。 为此,它检查调用堆栈上的每个类,要求它们都具有对任何潜在危险操作的许可。 当所有类都是Java API(受信任的)或任意潜在的恶意代码(不受信任的)时,这是一个很好的方法。 但是,典型的Web应用程序具有不同的需求和不同的威胁模型。 主要威胁来自外部,例如,精心设计的输入会触发本来值得信赖的库中的意外行为。 我们需要保护代码不被颠覆。 默认方法的问题在于,最容易受到攻击的类(如调用堆栈开头的类,例如应用程序服务器本身)也是必须授予每个特权的类,因为它们始终位于调用堆栈上。 这意味着我们不能轻易地将这些类沙盒化。 我们需要的是使他们的特
java安全管理器SecurityManager入门
weixin_30703911的博客
12-21 1629
一、文章的目的   这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。   比如在阅读源码的时候,发现这样的代码,想了解是做什么的: SecurityManager security = System.getSecurityManager(); if (security != null) { s...
安全管理器入门小节
weixin_30702413的博客
02-18 223
1、关于安全管理器的概念:每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含...
Java SecurityManager
John Wong's Blog
06-03 1413
JavaSecurityManager用于完成对一些本地方法的权限管理。其他安全特性可以保证程序Java程序安全运行,但是当调用本地方法时,Java安全沙箱完全不起作用,因此需要在调用本地方法前确认它是可信任的。 启动SecurityManager开关: 默认情况下,JVM是不启动安全检查的。打开的方式有两种:一种是在启动运行中追加JVM参数-Djava.security.manager,另
Java安全管理器 - SecurityManager
永远热血的少年
04-07 524
Java安全管理器Java提供的保护JVM和程序安全的机制,它能限制用户的代码对文件、内存、资源、网络的操作和访问,防止恶意代码入侵程序。常用来控制用户提交的代码对各种资源的访问权限,防止用户恶意提交代码导致系统崩溃或数据泄露。
java securitymanager_Java安全管理器(Security Manager)
weixin_36051281的博客
02-13 641
每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意代码,此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值