隨筆 - 1 
文章 - 37 
trackbacks - 0


           
	

          

          
	
		
          
			
          
	
          
		
          <2025年6月>
          
	
          25262728293031
          1234567
          891011121314
          15161718192021
          22232425262728
          293012345
          

          

          
			
			

          留言簿(16)
          




		
          隨筆分類
          
		
				
			
	
		
          隨筆檔案
          
		
				
			
	
		
          文章分類
          
		
				
			
	
		
          文章檔案
          
		
				
			
	
		
          test
          
		
				
            
			
				
          
			
	




          搜索
          

            
	
          • 
		
          •  
	
            • 

          


          最新評論
	
          

          
	
			
		

          

          		
	

          

          
	
					


          
	
	
          示例中需要在eclipse中創(chuàng)建2個project:ServiceCentre和TestService
          

          
java.policy
          

          

          grant codeBase "file:/D:/Workspaces/ExchangeConnect_V2_Trunk_Maven_workspace/ServiceCentre/bin/*" {
          
    permission java.io.FilePermission           "c:/TestService-1.0.jar""read";
          
    permission java.lang.RuntimePermission           "createClassLoader";
          
}          ;
          

          
grant codeBase           "file:/c:/TestService-1.0.jar" {
          
    permission java.io.FilePermission           "C:/text.txt""read";
          
}          ;
          


          

          

          
Project - ServiceCentre 
          

          package test;
          

          
          import java.lang.reflect.Method;
          
          import java.net.URL;
          
          import java.net.URLClassLoader;
          

          
          /**
          
 *           @author Donf Yang
          
           */
          
          public class ServiceCentreMain {
          

          
              public void loadService() {
          
        URL[] urls;
          
                  try {
          
            urls           = new URL[] new URL("file:c:/TestService-1.0.jar") };
          
            URLClassLoader ll           = new URLClassLoader(urls);
          
                      final Class a = ll.loadClass("test.TestService");
          
            Object o           = a.newInstance();
          
            Method m           = a.getMethod("doService"null);
          
            m.invoke(o,           null);
          

          
        }           catch (Exception e) {
          
            e.printStackTrace();
          
        }
          
    }
          

          
              /**
          
     *           @param args
          
               */
          
              public static void main(String[] args) {
          
        ServiceCentreMain s           = new ServiceCentreMain();
          
        s.loadService();
          
    }
          

          
}
          


          
 
          
Project - TestService
          
將TestService打包,放到C盤
          

          package test;
          

          
          import java.io.FilePermission;
          
          import java.security.AccessController;
          
          import java.security.Permission;
          

          
          /**
          
 *           @author Donf Yang
          
 * 
          
           */
          
          public class TestService {
          

          
              public void doService() {
          
        
          
        doFileOperation();
          

          
    }
          

          
              private void doFileOperation() {
          
        Permission perm           = new FilePermission("C:/text.txt""read");
          
        AccessController.checkPermission(perm);
          
        System.out.println(          "TestService has permission");
          
    }
          

          
}
          

          
運行這個例子的時候,會出現(xiàn)權(quán)限錯誤,把doService()修改一下,就可以順利通過
          

          public void doService() {
          

          
                  // doFileOperation();
          

          
        AccessController.doPrivileged(          new PrivilegedAction() {
          
                      public Object run() {
          
                doFileOperation();
          
                          return null;
          
            }
          
        }          );
          
    }
          

          
在這個例子中AccessControlContext的stack順序為
          
2.  file:/D:/Workspaces/ExchangeConnect_V2_Trunk_Maven_workspace/ServiceCentre/bin/*
          
1 . file:/c:/TestService-1.0.jar
          

          
2沒有權(quán)限,1有權(quán)限,使用doPrivileged后,不檢查2
          

          

          

          
看一下java.security.AccessController的JavaDoc:
          

          

          A caller can be marked as being "privileged" (see doPrivileged and below). When making access control decisions, the checkPermission method stops checking if it reaches a caller that was marked as "privileged" via a doPrivileged call without a context argument (see below for information about a context argument). If that caller's domain has the specified permission, no further checking is done and checkPermission returns quietly, indicating that the requested access is allowed. If that domain does not have the specified permission, an exception is thrown, as usual. 
          

          
其中提到的no further checking is done的意思是指stack中的checking
          

          
加入一個TestService2,文件操作在1,stack為(1,2,3為checking順序)
          
3 . file:/D:/Workspaces/ExchangeConnect_V2_Trunk_Maven_workspace/ServiceCentre/bin/*
          
2 . file:/c:/TestService-1.0.jar
          
1.  file:/c:/TestService2-1.0.jar
          
 checking順序為  1->2->3
          
如果doPrivileged是在2中調(diào)用,那么1,2需要具有權(quán)限,3不再進行檢查
          
如果doPrivileged是在1中調(diào)用,那么1需要具有權(quán)限,2,3不再進行檢查
          

          

          
總結(jié):
          
1.  這里容易理解錯誤的地方是checking順序,例如一個調(diào)用鏈 MethodA->MethodB->MethodC(這里的3個方法需要在3個不同的ProtectionDomain中),doPrivileged在MethodB中,很容易理解成檢查A,B而不檢查C,實際上stack中檢查順序為C->B->A,也就是檢查C,B而不檢查A
          

          
2. ServiceCentre不需要太多權(quán)限,而Service就需要使用doPrivileged來避免受到ServiceCentre的權(quán)限限制(如果service有足夠的權(quán)限),Equinox中有很多這樣的例子(Equinox扮演Service的角色)。

	
          posted on 2009-03-11 12:44 Phrancol Yang 閱讀(6753) 評論(1)  編輯  收藏  
          

          







          
	    
    


          
FeedBack:

          
	

		
          
			
          
			
          # re: [原]一個例子理解AccessController.doPrivileged() 2012-12-24 16:19 Flexin
          
				
          謝謝分享,我第一遍沒看懂,后來去其他地方看了有關(guān)權(quán)限檢查的的文章以后才看懂,建議解釋一下調(diào)用棧,和權(quán)限檢查(取調(diào)用棧中權(quán)限的交集)。  回復(fù)  更多評論
            
			
          
		
          
	




          





          


          

	
          
		
          
				
		
	
		
          
		
		
          只有注冊用戶登錄后才能發(fā)表評論。
          
		
          
			
		
          
			
		
          
		
		
          
		


          

		          		
		
          
		
          			
		
		
		
		
          
		
          
		
		
          
		
          
			網(wǎng)站導(dǎo)航:
		
		
          
		
          
			
		
          	
		
          
			 
		
          
		
          
			
		
          
		
          
			
				
		
          		
	
          	

          



          

				
	



          



    







        
	




主站蜘蛛池模板:
杭州市|
大英县|
成都市|
郓城县|
分宜县|
大化|
韩城市|
东明县|
灵石县|
辽宁省|
嘉荫县|
永定县|
肇源县|
柘荣县|
竹溪县|
治县。|
内乡县|
微山县|
井冈山市|
陆丰市|
南丹县|
师宗县|
县级市|
贵阳市|
资中县|
辰溪县|
东阿县|
闻喜县|
赞皇县|
南召县|
南丰县|
阿克陶县|
潮安县|
台中县|
渑池县|
云阳县|
尉犁县|
慈溪市|
邹城市|
钟祥市|
济源市|