java - 其他可用的 SecurityManager 实现？

Question

是否有任何其他可用的 Java SecurityManager 实现(例如在 OSS 项目中)比 JDK 中的具有更多的功能？

我正在寻找像这样的功能

• 可在运行时配置
• 策略可在运行时更新，从除 security.policy 文件以外的其他数据源读取
• 线程感知，例如每个线程不同的策略
• 更高级别的政策，例如“禁用网络功能，但允许 JDBC 流量”
• 常见的预定义政策，例如“允许对 file.encoding 或 line.separator 等常用系统属性进行读取访问，但不允许对 user.home 进行读取访问”
• 监控和审核跟踪记录，例如“记录所有文件访问，记录所有不去 knownhost.example.org 的网络访问”
• 阻止作业“请求”权限，直到管理员授予权限，让线程/作业继续
• ...

我很确定应用程序服务器(至少是商业服务器)有自己的 SecurityManager 实现或至少有自己的策略配置。我想知道是否有任何具有类似要求的免费项目。

Answer 1

• 动态ProtectionDomains (在 1.4 IIRC 中引入)，委托(delegate)给可修改的 Policy。
• 按线程确定权限是，呃，棘手。 applet security managaer通过ThreadGroup来完成，这通常被认为是一件坏事。
• 您可以允许连接到特定端口。类似地，您可以拥有一个特权 JDBC 驱动程序，它可能代理另一个驱动程序，通过 AccessController.doPrivileged 声明特定特权。
• 可以为每个单独的 key 指定系统属性的权限。
Sun/Oracle 实现中的
• AccessController 确实具有跟踪功能。
• Applets/WebStart 将显示一个对话框，例如打印。但 JNLP 服务方法要好得多。

“Glossitope”试图让系统在每次请求权限时弹出一个对话框。当然，对于只想看跳舞的 pig 的用户来说，这个请求毫无意义。 (Glossitope 是对 Vista 侧面板事物的 Java 版本的尝试。添加到 6u10 的功能(拖放安装、非矩形窗口、警告图标而不是横幅、JNLP 服务)使它大部分都是多余的。)