java - 如何将 setAccessible 限制为仅 "legitimate"使用？

Question

我越了解java.lang.reflect.AccessibleObject.setAccessible的力量，我越是惊讶于它的能力。这改编自我对问题( Using reflection to change static final File.separatorChar for unit testing )的回答。

import java.lang.reflect.*;

public class EverythingIsTrue {
   static void setFinalStatic(Field field, Object newValue) throws Exception {
      field.setAccessible(true);

      Field modifiersField = Field.class.getDeclaredField("modifiers");
      modifiersField.setAccessible(true);
      modifiersField.setInt(field, field.getModifiers() & ~Modifier.FINAL);

      field.set(null, newValue);
   }
   public static void main(String args[]) throws Exception {      
      setFinalStatic(Boolean.class.getField("FALSE"), true);

      System.out.format("Everything is %s", false); // "Everything is true"
   }
}

你可以做真正令人发指的事情:

public class UltimateAnswerToEverything {
   static Integer[] ultimateAnswer() {
      Integer[] ret = new Integer[256];
      java.util.Arrays.fill(ret, 42);
      return ret;
   }   
   public static void main(String args[]) throws Exception {
      EverythingIsTrue.setFinalStatic(
         Class.forName("java.lang.Integer$IntegerCache")
            .getDeclaredField("cache"),
         ultimateAnswer()
      );
      System.out.format("6 * 9 = %d", 6 * 9); // "6 * 9 = 42"
   }
}

大概 API 设计者意识到如何滥用 setAccessible可以，但必须承认它具有提供它的合法用途。所以我的问题是:

setAccessible的真正合法用途是什么？ ?

Java 是否可以设计为一开始就没有这种需求？

这种设计的负面后果(如果有的话)是什么？

可以限制吗setAccessible仅用于合法用途？

是不是只能通过SecurityManager ?

它是如何工作的？白名单/黑名单、粒度等？

必须在您的应用程序中配置它是否很常见？

我可以将我的类(class)写成 setAccessible - 防不分SecurityManager配置？

还是我任由管理配置的人摆布？

我想还有一个更重要的问题是:我需要担心这个吗？？？

我的任何类(class)都没有任何可强制执行的隐私。单例模式(将对其优点的怀疑放在一边)现在无法执行。正如我上面的片段所示，即使是关于 Java 基础如何工作的一些基本假设也无法保证。

这些问题不是真的吗？？？

好的，我刚刚确认:感谢 setAccessible , Java 字符串不是不可变的。

import java.lang.reflect.*;

public class MutableStrings {
   static void mutate(String s) throws Exception {
      Field value = String.class.getDeclaredField("value");
      value.setAccessible(true);
      value.set(s, s.toUpperCase().toCharArray());
   }   
   public static void main(String args[]) throws Exception {
      final String s = "Hello world!";
      System.out.println(s); // "Hello world!"
      mutate(s);
      System.out.println(s); // "HELLO WORLD!"
   }
}

我是唯一一个认为这是一个巨大问题的人吗？

Answer 1

我需要担心这个吗？？？

这完全取决于您正在编写什么类型的程序以及用于哪种架构。

如果您将一个名为 foo.jar 的软件组件分发给全世界的人们，那么无论如何您都完全受他们的摆布。他们可以修改 .jar 中的类定义(通过逆向工程或直接字节码操作)。他们可以在他们自己的 JVM 等中运行您的代码。在这种情况下，担心对您没有好处。

如果您正在编写一个仅通过 HTTP 与人和系统交互的 Web 应用程序，并且您控制应用程序服务器，那么这也不是问题。当然，您公司的其他编码人员可能会创建打破单例模式的代码，但前提是他们真的想要这样做。

如果您 future 的工作是在 Sun Microsystems/Oracle 编写代码，并且您的任务是为 Java 核心或其他受信任的组件编写代码，那么您应该注意这一点。然而，担心只会让你脱发。无论如何，他们可能会让您阅读 Secure Coding Guidelines以及内部文档。

如果您打算编写 Java 小程序，那么您应该了解安全框架。您会发现尝试调用 setAccessible 的未签名小程序只会导致 SecurityException。

setAccessible 不是唯一绕过传统完整性检查的东西。有一个名为 sun.misc.Unsafe 的非 API 核心 Java 类，它几乎可以做任何它想做的事情，包括直接访问内存。 native 代码 (JNI) 也可以绕过这种控制。

在沙盒环境(例如 Java Applets、JavaFX)中，每个类都有一组权限和对 Unsafe、setAccessible 和定义 native 实现的访问由 SecurityManager 控制。

“Java 访问修饰符并非旨在成为一种安全机制。”

这在很大程度上取决于运行 Java 代码的位置。核心 Java 类确实使用访问修饰符作为安全机制来强制执行沙箱。

setAccessible 的真正合法用途是什么？

Java 核心类使用它作为访问出于安全原因必须保持私有(private)的内容的简单方法。例如，Java 序列化框架在反序列化对象时使用它来调用私有(private)对象构造函数。有人提到了 System.setErr，这将是一个很好的例子，但奇怪的是 System 类方法 setOut/setErr/setIn 都使用 native 代码来设置最终字段的值。

另一个明显的合法用途是需要查看对象内部的框架(持久性、Web 框架、注入(inject))。

在我看来，调试器不属于这一类，因为它们通常不在同一个 JVM 进程中运行，而是使用其他方式 (JPDA) 与 JVM 进行接口(interface)。

Java 是否可以设计为一开始就没有这种需求？

这是一个很深的问题，要好好回答。我想是的，但是您需要添加一些其他可能不是那么可取的机制。

您可以将 setAccessible 限制为仅用于合法用途吗？

您可以应用的最直接的 OOTB 限制是拥有一个 SecurityManager 并只允许 setAccessible 来自某些来源的代码。这就是 Java 已经做的 - 来自 JAVA_HOME 的标准 Java 类可以执行 setAccessible，而来自 foo.com 的未签名小程序类不允许执行 setAccessible。如前所述，此权限是二元的，从某种意义上说，要么拥有，要么不拥有。没有明显的方法可以允许 setAccessible 修改某些字段/方法同时禁止其他字段/方法。但是，使用 SecurityManager 您可以禁止类完全引用某些包，无论是否有反射。

无论 SecurityManager 配置如何，我都可以将我的类编写为 setAccessible-proof 吗？ ... 还是我任由管理配置的人摆布？

你不能，而且你肯定是。