带有安全管理器和内部URLClassLoader的tomcat上的JndiPermission错误

时间:2013-01-10 09:31:37

标签: java tomcat

在使用安全管理器的tomcat中部署的webapp中,这可以工作:

URL url = servletContext.getResource("/WEB-INF/internal/tika/tika-app-1.2.jar");
// test to see if the content can be read
String test = IOUtils.toString(url);

Tomcat将jndi用于内部URL。根据有关安全管理器的tomcat文档(链接here),war文件中的资源有一个隐式权限。

然而,这不起作用:

URL url = servletContext.getResource("/WEB-INF/internal/tika/tika-app-1.2.jar");
ClassLoader cl = new URLClassLoader(new URL[] { url }, this.getClass().getClassLoader());
// load a class from the jar
Class<TextExtractor> clz = (Class) cl.loadClass(" ... some class ...");
delegate = clz.newInstance();

我得到的例外是:

Caused by: java.security.AccessControlException: access denied (org.apache.naming.JndiPermission jndi:/localhost/my_webapp/WEB-INF/internal/tika/tika-app-1.2.jar)
at java.security.AccessControlContext.checkPermission(AccessControlContext.java:374)
at java.security.AccessController.checkPermission(AccessController.java:546)
at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
at java.net.URLClassLoader$4.run(URLClassLoader.java:515)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.getPermissions(URLClassLoader.java:513)
at java.security.SecureClassLoader.getProtectionDomain(SecureClassLoader.java:235)
at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:141)
at java.net.URLClassLoader.defineClass(URLClassLoader.java:283)
at java.net.URLClassLoader.access$000(URLClassLoader.java:58)
at java.net.URLClassLoader$1.run(URLClassLoader.java:197)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(URLClassLoader.java:190)
at java.lang.ClassLoader.loadClass(ClassLoader.java:306)
at java.lang.ClassLoader.loadClass(ClassLoader.java:247)
at com.sample.myClass.afterPropertiesSet(TikaWrapper.java:38)

我想我的第一个问题是:为什么

如果我将它添加到catalina.policy文件,那么它可以工作:

permission org.apache.naming.JndiPermission "jndi:/localhost/my_webapp/WEB-INF/internal/tika/tika-app-1.2.jar";

但是,客户不愿意或无法更改其政策文件。

我的第二个问题是:知道该怎么办?我不能把jar放在/ WEB-INF / lib下,否则我已经完成了。 我可以将它放在tomcat之外,并使用基于file://的URL加载它,但我试图避免它。

1 个答案:

答案 0 :(得分:1)

至于你的第一个问题,在文档中的安全管理器下运行时,有一个关于类加载的small note,为方便起见,这里引用它:

  

在安全管理器下运行时,允许加载类的位置也取决于策略文件的内容。

因此,默认情况下,允许webapp类加载器从WEB-INF / lib和WEB-INF / classes目录加载类。在您的情况下,看起来您将webapp类加载器指定为自定义类加载器的父类,因此后者与其父类相同,只能从WEB-INF / lib和WEB-INF /类加载类

至于做什么,由于客户端不想要或不能更改策略文件,请考虑尝试以编程方式更改策略。有一个很好的例子here。但是,它只有在当前权限集允许调用java.security.Permission.setPolicy()方法时才有效,我敢打赌它不会因为这会设置JVM系统范围的策略。

相关问题
最新问题