Posted on 2008-09-20 09:09
魚躍于淵 閱讀(132)
評論(0) 編輯 收藏 所屬分類:
精品網(wǎng)摘
[摘要] Java語言規(guī)定,在同一個包中的class,如果沒有修飾符,默認(rèn)為Package權(quán)限,包內(nèi)的class都可以訪問。但是這還不夠準(zhǔn)確。確切的說,只有由同一個ClassLoader裝載的class才具有以上的Package權(quán)限。
[關(guān)鍵字] JavaClassLoader Package
為了深入了解Java的ClassLoader機制,我們先來做以下實驗:
package java.lang;
public class Test {
public static void main(String[] args) {
char[] c = "1234567890".toCharArray();
String s = new String(0, 10, c);
}
}
String類有一個Package權(quán)限的構(gòu)造函數(shù)String(int offset, int length, char[] array),按照默認(rèn)的訪問權(quán)限,由于Test屬于java.lang包,因此理論上應(yīng)該可以訪問String的這個構(gòu)造函數(shù)。編譯通過!執(zhí)行時結(jié)果如下:
Exception in thread "main" java.lang.SecurityException: Prohibited package name:
java.lang
at java.lang.ClassLoader.defineClass(Unknown Source)
at java.security.SecureClassLoader.defineClass(Unknown Source)
at java.net.URLClassLoader.defineClass(Unknown Source)
at java.net.URLClassLoader.access$100(Unknown Source)
at java.net.URLClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.misc.Launcher$AppClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClassInternal(Unknown Source)
奇怪吧?要弄清為什么會有SecurityException,就必須搞清楚ClassLoader的機制。
Java的ClassLoader就是用來動態(tài)裝載class的,ClassLoader對一個class只會裝載一次,JVM使用的ClassLoader一共有4種:
啟動類裝載器,標(biāo)準(zhǔn)擴(kuò)展類裝載器,類路徑裝載器和網(wǎng)絡(luò)類裝載器。
這4種ClassLoader的優(yōu)先級依次從高到低,使用所謂的“雙親委派模型”。確切地說,如果一個網(wǎng)絡(luò)類裝載器被請求裝載一個java.lang.Integer,它會首先把請求發(fā)送給上一級的類路徑裝載器,如果返回已裝載,則網(wǎng)絡(luò)類裝載器將不會裝載這個java.lang.Integer,如果上一級的類路徑裝載器返回未裝載,它才會裝載java.lang.Integer。
類似的,類路徑裝載器收到請求后(無論是直接請求裝載還是下一級的ClassLoader上傳的請求),它也會先把請求發(fā)送到上一級的標(biāo)準(zhǔn)擴(kuò)展類裝載器,這樣一層一層上傳,于是啟動類裝載器優(yōu)先級最高,如果它按照自己的方式找到了java.lang.Integer,則下面的ClassLoader 都不能再裝載java.lang.Integer,盡管你自己寫了一個java.lang.Integer,試圖取代核心庫的java.lang.Integer是不可能的,因為自己寫的這個類根本無法被下層的ClassLoader裝載。
再說說Package權(quán)限。Java語言規(guī)定,在同一個包中的class,如果沒有修飾符,默認(rèn)為Package權(quán)限,包內(nèi)的class都可以訪問。但是這還不夠準(zhǔn)確。確切的說,只有由同一個ClassLoader裝載的class才具有以上的Package權(quán)限。比如啟動類裝載器裝載了java.lang.String,類路徑裝載器裝載了我們自己寫的java.lang.Test,它們不能互相訪問對方具有Package權(quán)限的方法。這樣就阻止了惡意代碼訪問核心類的Package權(quán)限方法。