编辑:已更新以回应Ani B。
编辑2:添加了更新的PluginSecurityManager。
我的应用程序有一个插件机制,第三方可以提供包含实现特定接口的类的JAR。使用URLClassLoader,我能够加载该类并实例化它,没问题。因为代码可能不受信任,我需要防止它行为不端。例如,我在一个单独的线程中运行插件代码,这样如果它进入无限循环或者只是花费太长时间我就可以杀死它。但是尝试为他们设置一个安全沙箱,以便他们无法做出像网络连接或访问硬盘驱动器上的文件这样的事情让我感到非常沮丧。我的努力总是导致对插件没有影响(它具有与应用程序相同的权限)或者也限制了应用程序。我希望主应用程序代码能够完成它想要的任何事情,但是要锁定插件代码。
有关该主题的文档和在线资源是复杂,混乱和矛盾的。我已经阅读了我需要提供自定义SecurityManager的各个地方(例如this question),但是当我尝试它时遇到问题,因为JVM延迟加载JAR中的类。所以我可以很好地实例化它,但是如果我在加载的对象上调用一个方法来实例化来自同一个JAR的另一个类,那么它就会爆炸,因为它被拒绝从JAR读取的权利。
理论上,我可以在SecurityManager中检查FilePermission,看看它是否正在尝试加载自己的JAR。这没关系,但是the URLClassLoader documentation说:“默认情况下,加载的类只被授予访问创建URLClassLoader时指定的URL的权限。”那为什么我甚至需要一个自定义的SecurityManager? URLClassLoader不应该只处理这个吗?为什么不呢?
以下是重现问题的简化示例:
package test.app;
import java.io.File;
import java.net.URL;
import java.net.URLClassLoader;
import test.api.Plugin;
public class PluginTest {
public static void pluginTest(String pathToJar) {
try {
File file = new File(pathToJar);
URL url = file.toURI().toURL();
URLClassLoader cl = new URLClassLoader(new java.net.URL[] { url });
Class<?> clazz = cl.loadClass("test.plugin.MyPlugin");
final Plugin plugin = (Plugin) clazz.newInstance();
PluginThread thread = new PluginThread(new Runnable() {
@Override
public void run() {
plugin.go();
}
});
thread.start();
} catch (Exception ex) {
ex.printStackTrace();
}
}
}
package test.api;
public interface Plugin {
public void go();
}
package test.app;
public class PluginSecurityManager extends SecurityManager {
private boolean _sandboxed;
@Override
public void checkPermission(Permission perm) {
check(perm);
}
@Override
public void checkPermission(Permission perm, Object context) {
check(perm);
}
private void check(Permission perm) {
if (!_sandboxed) {
return;
}
// I *could* check FilePermission here, but why doesn't
// URLClassLoader handle it like it says it does?
throw new SecurityException("Permission denied");
}
void enableSandbox() {
_sandboxed = true;
}
void disableSandbox() {
_sandboxed = false;
}
}
package test.app;
class PluginThread extends Thread {
PluginThread(Runnable target) {
super(target);
}
@Override
public void run() {
SecurityManager old = System.getSecurityManager();
PluginSecurityManager psm = new PluginSecurityManager();
System.setSecurityManager(psm);
psm.enableSandbox();
super.run();
psm.disableSandbox();
System.setSecurityManager(old);
}
}
package test.plugin;
public MyPlugin implements Plugin {
@Override
public void go() {
new AnotherClassInTheSamePlugin(); // ClassNotFoundException with a SecurityManager
doSomethingDangerous(); // permitted without a SecurityManager
}
private void doSomethingDangerous() {
// use your imagination
}
}
更新 我更改了它,以便在插件代码即将运行之前,它会通知PluginSecurityManager,以便它知道它正在使用哪个类源。然后它只允许对该类源路径下的文件进行文件访问。这也有一个很好的优势,我可以在我的应用程序开始时设置一次安全管理器,并在我输入和保留插件代码时更新它。
这几乎解决了这个问题,但是没有回答我的另一个问题:为什么URLClassLoader没有像我说的那样为我处理这个问题?我会暂时搁置这个问题一段时间,看看是否有人对这个问题有答案。如果是这样,该人将得到接受的答案。否则,我将把它授予Ani B.,假设URLClassLoader文档存在,并且他建议自定义SecurityManager是正确的。
PluginThread必须在PluginSecurityManager上设置classSource属性,该属性是类文件的路径。 PluginSecurityManager现在看起来像这样:
package test.app;
public class PluginSecurityManager extends SecurityManager {
private String _classSource;
@Override
public void checkPermission(Permission perm) {
check(perm);
}
@Override
public void checkPermission(Permission perm, Object context) {
check(perm);
}
private void check(Permission perm) {
if (_classSource == null) {
// Not running plugin code
return;
}
if (perm instanceof FilePermission) {
// Is the request inside the class source?
String path = perm.getName();
boolean inClassSource = path.startsWith(_classSource);
// Is the request for read-only access?
boolean readOnly = "read".equals(perm.getActions());
if (inClassSource && readOnly) {
return;
}
}
throw new SecurityException("Permission denied: " + perm);
}
void setClassSource(String classSource) {
_classSource = classSource;
}
}
答案 0 :(得分:7)
来自文档:
The AccessControlContext of the thread that created the instance of URLClassLoader will be used when subsequently loading classes and resources.
The classes that are loaded are by default granted permission only to access the URLs specified when the URLClassLoader was created.
URLClassLoader就像它说的那样,AccessControlContext就是你需要看的东西。基本上,AccessControlContext中引用的线程没有权限执行您的想法。
答案 1 :(得分:7)
我在应用程序中运行一些Groovy脚本时使用以下方法。我显然想阻止脚本运行(有意或无意)System.exit
我以通常的方式安装java SecurityManager:
-Djava.security.manager -Djava.security.policy=<policy file>
在<policy file>我给我的申请所有权限(我完全信任我的申请),即:
grant {
permission java.security.AllPermission;
};
我限制了运行Groovy脚本的部分的功能:
list = AccessController.doPrivileged(new PrivilegedExceptionAction<List<Stuff>> () {
public List<Stuff> run() throws Exception {
return groovyToExecute.someFunction();
}
}, allowedPermissionsAcc);
allowedPermissionsAcc不会改变,因此我在静态块中创建它们
private static final AccessControlContext allowedPermissionsAcc;
static { // initialization of the allowed permissions
PermissionCollection allowedPermissions = new Permissions();
allowedPermissions.add(new RuntimePermission("accessDeclaredMembers"));
// ... <many more permissions here> ...
allowedPermissionsAcc = new AccessControlContext(new ProtectionDomain[] {
new ProtectionDomain(null, allowedPermissions)});
}
现在棘手的部分是找到合适的权限。
如果您想允许访问某些库,您很快就会意识到它们并没有考虑安全管理器,也没有非常优雅地处理它们,并且找出它们所需的权限可能非常棘手。如果你想通过Maven Surefire插件运行UnitTests,或者在Linux / Windows等不同平台上运行,你会遇到其他问题,因为行为可能会有所不同:-(。但这些问题是另一个话题
答案 2 :(得分:5)
实施SecurityManager可能是最好的方法。您必须覆盖checkPermission。该方法将查看传递给它的Permission对象,并确定某个操作是否有危险。这样您就可以允许某些权限并禁止其他权限。
您能描述一下您使用的自定义SecurityManager吗?