Java安全管理器和API,写给想学又没时间看的人

2024-06-20 21:08

本文主要是介绍Java安全管理器和API,写给想学又没时间看的人,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

这一周因为一直在赶自己的项目,没怎么继续更新,主要是在自己的CSDN博客上更新一些自己项目中的问题解决方案,因为跟业务比较靠边,头条还是偏娱乐的,如果感兴趣的可以去我饿CSDN博客上关注一下,下面说正事,今天继续介绍我们的虚拟机。

Java安全管理器和API,写给想学又没时间看的人

正文

安全管理器和Java API

Java安全模型的前三个部分——类装载器,class文件校验器以及Java自身的安全特性斜前面已经介绍完了,没看过的小伙伴可以去前面看一下,这三点都是为了保持Java虚拟机的实例和它正在运行的应用程序的正确性,使得不会被恶意下载的或者有漏洞的代码侵犯。

我们今天提到的安全管理器是一个单独的对象,在运行的Java虚拟机中,它在对于外部的资源访问控制中起到了中枢的作用。

安全管理器定义了沙箱的外部边界,它属于可定制的,所以允许为程序建立自定义的安全策略,当Java API进行任何不安全的操作时,它都会向安全管理器请求许可,从而强制执行自定义的安全策略,要向安全管理器请求许可,Java API将会调用安全管理器对象的“check”方法,这些方法的实现定义了应用程序的定制安全策略。

Java API在进行一个可能不安全的操作前,总是检查安全管理器,所以API不会再安全管理器建立的安全策略之外做事,安全管理器禁止的事,API就执行不了。

当Java应用程序启动时,它是没有安全管理器的,应用程序需要自己调用方法来启动安全管理器,如果没有安装安全管理器,那么就不会对API作出限制。

一般来说,一个受检查的动作被禁止,安全管理器的“check”方法将会抛出异常,如果这个动作被允许,则简单的返回。,当一个Java API即将执行一个潜在的不安全的动作时,它将会遵循以下两个步骤,首先看有没有安装安全管理器,如果没有,则跳过继续执行这个安全的动作,否则,它将会调用安全管理器中的“check”方法,如果操作被禁止,那么API久立即停止这个不安全的动作,如果被允许,那么这个“check”方法将简单的返回,API继续执行这个方法。

虽然安全管理器的可配置性是Java安全模型的最大优点之一,但它也是一个潜在的弱点,编写一个安全管理器是一项复杂的任务,并且可能导致错误,在实现安全管理器的check方法时,任何错误都将编程运行时的安全漏洞,所以。Java虚拟机在后来提供了一个默认的安全管理器,用户的应用程序可以显式的实例化并安装这个安全管理器,或者让他自动安装。

这篇关于Java安全管理器和API,写给想学又没时间看的人的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1079260

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟 开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚 第一站:海量资源,应有尽有 走进“智听