在SecurityManager下授予脚本以访问系统属性

时间:2013-09-12 08:12:07

标签: java securitymanager accesscontrolexception

我想允许沙箱中的脚本访问系统属性,但我得到AccessControlException s。这是代码:

import static org.junit.Assert.*;
import java.security.AccessControlContext;
import java.security.AccessController;
import java.security.CodeSource;
import java.security.Permission;
import java.security.Permissions;
import java.security.PrivilegedAction;
import java.security.ProtectionDomain;
import java.security.cert.Certificate;
import java.util.PropertyPermission;
import org.junit.Test;

public class AccessControlTest {

    @Test
    public void testAccessControl() throws Exception {

        PrivilegedAction<String> action = new PrivilegedAction<String>() {

            @Override
            public String run() {
                System.getProperty( "java.version" ); // doesn't work
                return System.getProperty( "foo" ); // doesn't work
            }
        };


        SecurityManager sm = new SecurityManager() {
            @Override
            public void checkPermission( Permission perm ) {

                if( "setSecurityManager".equals( perm.getName() ) ) {
                    return;
                }

                System.out.println( perm );
                super.checkPermission( perm );
            }
        };

        Permissions perms = new Permissions();
        perms.add( new PropertyPermission( "foo", "read" ) );
//        perms.add( new PropertyPermission( "java.version", "read" ) );

        ProtectionDomain domain = new ProtectionDomain( new CodeSource( null, (Certificate[]) null ), perms );
        AccessControlContext context = new AccessControlContext( new ProtectionDomain[] { domain } );

        try {
            System.setSecurityManager( sm );

            Object result = AccessController.doPrivileged( action, context );
            assertEquals( Boolean.TRUE, result );
        } finally {
            System.setSecurityManager( null );
            System.out.println( "setSecurityManager( null )" );
        }


    }

}

调试时,我看到了这个输出:

...
policy:   granting (java.lang.RuntimePermission stopThread)
policy:   granting (java.net.SocketPermission localhost:1024- listen,resolve)
policy:   granting (java.util.PropertyPermission java.version read)
...
(java.util.PropertyPermission java.version read)
java.lang.Exception: Stack trace
    at java.lang.Thread.dumpStack(Thread.java:1249)
    at java.security.AccessControlContext.checkPermission(AccessControlContext.java:323)
    at java.security.AccessController.checkPermission(AccessController.java:549)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
    at com.avanon.script.AccessControlTest$2.checkPermission(AccessControlTest.java:39)
    at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1285)
    at java.lang.System.getProperty(System.java:650)
...
access: domain 0 ProtectionDomain  (null <no signer certificates>)
 null
 <no principals>
 java.security.Permissions@78ce5b1c (
 (java.util.PropertyPermission foo read)
)


access: domain 1 ProtectionDomain  (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
 sun.misc.Launcher$AppClassLoader@5d0385c1
 <no principals>
 java.security.Permissions@6ddf073d (
 (java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
 (java.lang.RuntimePermission exitVM)
)


access: access denied (java.util.PropertyPermission java.version read)

(使用-Djava.security.debug=all调用代码以获得相同的输出)

第一个块来自JRE附带的全局java.policy文件。

下一个阻止是代码尝试检查对java.version的访问权限。

最后一个块显示失败。

这让我感到惊讶,因为政策文件中允许访问该属性。

为了提供帮助,我启用了注释掉的行,为PropertyPermission添加了java.version。现在第一个System.getProperty( "java.version" )通过。

但第二个仍然失败:

access: domain that failed ProtectionDomain  (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
 sun.misc.Launcher$AppClassLoader@5d0385c1
 <no principals>
 java.security.Permissions@6ddf073d (
 (java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
 (java.lang.RuntimePermission exitVM)
)

我真的很难过。从代码中可以看出,Java总是按顺序检查所有ProtectionDomain(我有四个)。如果他们中的任何人不喜欢您的访问权限,则会被拒绝。

但是我没有看到第二个域如何允许访问任何属性,所以我期望两者都失败或两者都成功。

我错过了什么?

1 个答案:

答案 0 :(得分:0)

查看ProtectionDomain.implies()

if (!staticPermissions && 
    Policy.getPolicyNoCheck().implies(this, permission))
    return true;

这意味着对于动态ProtectionDomain s,会应用当前Policy。安装SecurityManager时,默认策略会加载一些授权,以便访问系统属性。

要为ProtectionDomain启用相同功能,您需要使用其他构造函数:

    public ProtectionDomain(CodeSource codesource,
            PermissionCollection permissions,
            ClassLoader classloader,
            Principal[] principals)

这将让你中途:现在可以访问系统属性。

但是对属性foo的第二次访问将通过第一个保护域而对其他保护域则失败。

要解决此问题,您必须安装自己的默认政策,以便同时访问java.versionfoo

如果您这样做,那么您不再需要自定义ProtectionDomain;政策就足够了。