【轉】關于AccessController.doPrivileged

最近在看一些架構代碼，偶爾都會遇到accesscontroller.doprivileged()方法的使用，雖然之前在《深入解析java虛拟機》這本書上看到過對這個方法的解釋，但是貌似當時沒有真正了解，雖然到現在對這個方法的概念還比較模糊，感覺這邊文章介紹的挺清晰的，因而轉載過來。

accesscontroller.doprivileged是一個在accesscontroller類中的靜态方法，允許在一個類執行個體中的代碼通知這個accesscontroller：它的代碼主體是享受"privileged(特權的)"，它單獨負責對它的可得的資源的通路請求，而不管這個請求是由什麼代碼所引發的。

這就是說，一個調用者在調用doprivileged方法時，可被辨別為 "特權"。在做通路控制決策時，如果checkpermission方法遇到一個通過doprivileged調用而被表示為 "特權"的調用者，并且沒有上下文自變量，checkpermission方法則将終止檢查。如果那個調用者的域具有特定的許可，則不做進一步檢查，checkpermission安靜地傳回，表示那個通路請求是被允許的；如果那個域沒有特定的許可，則象通常一樣，一個異常被抛出。

一、"特權"特性的正常使用如下所示：

1、如果你不需要從"特權"塊内傳回一個值，按下列代碼去做：

somemethod() {

      ...normal code here...

      accesscontroller.doprivileged(new privilegedaction() {

             public object run() {

                   // privileged code goes here, for example:

                    system.loadlibrary("awt");

                    returnnull; // nothing to return

            }

      });

}

privilegedaction是一個接口，它帶有一個被稱為run的方法，這個方法傳回一個object。上述例子顯示了一個用來實作那個接口的匿名内類的建立，并提供了一個run方法的具體實作。

當做一個doprivileged調用時，一個privilegedaction實作的執行個體被傳遞給它。doprivileged方法在使特權生效後，從privilegedaction實作中調用run方法，并傳回run方法的傳回值以作為doprivileged的傳回值，這一點在本例中被忽略。

2、如果你需要傳回一個值，你可按如下方法去做：

        ...normal code here...

        string user = (string) accesscontroller.doprivileged(new privilegedaction() {

                  public object run() {

                         return system.getproperty("user.name");

                 }

        });

3、如果用你的run方法執行的動作可能扔出一個"檢查"的異常（包括在一個方法的throws子句清單中），則你需要使用privilegedexceptionaction接口，而不是使用privilegedaction接口：

somemethod() throws filenotfoundexception {

        try {

               fileinputstream fis = (fileinputstream)

               accesscontroller.doprivileged(new privilegedexceptionaction() {

                     public object run() throws filenotfoundexception {

                            returnnew fileinputstream("somefile");

                     }

               });

        } catch (privilegedactionexception e) {

                  // e.getexception() should be an instance of

                 // filenotfoundexception,

                 // as only "checked" exceptions will be "wrapped" in a

                 // privilegedactionexception.

                throw (filenotfoundexception) e.getexception();

        }

       ...normal code here...

有關被授予特權的一些重要事項：

首先，這個概念僅存在于一個單獨線程内。一旦特權代碼完成了任務，特權将被保證清除或廢棄。

第二，在這個例子中，在run方法中的代碼體被授予了特權。然而，如果它調用無特權的不可信代碼，則那個代碼将不會獲得任何特權；隻有在特權代碼具有許可并且在直到checkpermission調用的調用鍊中的所有随後的調用者也具有許可時, 一個許可才能被準予。

二、使用事例：

final string name = myclass.class.getname();

string classname = accesscontroller.doprivileged(new privilegedaction<string>() {

                public string run() {

                    return system.getproperty(name);

});關于accesscontroller.doprivileged- -

來自不同的位置的代碼可以由一個codesource對象描述其位置和簽名證書。根據代碼的codesource的不同，代碼擁有不同的權限。例如所有java sdk自帶的代碼都具有所有的權限，而applet中的代碼則具有非常受限的權限，使用者編寫的代碼可以自己定制權限（通過securitymanager）。

當執行一段代碼時，這段代碼的stacktrace包含了從main開始所有正在被調用而且沒有結束的方法。在這個調用過程中，很有可能出現跨多個不同的codesource的調用序列。由于codesource不同，這些代碼通常擁有不同的權限集。隻有所有途經的codesource都具有對應的權限集合時，目前正在運作的代碼才能存取某個resource。

而doprivileged方法是對這個規則的一種補充。他類似于unix中的setuid程式。unix中的login程式必須通路password檔案進而獲得使用者授權資訊，但是使用者不能随意的通路password檔案。是以，login程式具有setuid位，它不管被哪個使用者所調用，都具有root的權限。

調用doprivileged的方法不管其stacktrace中其他方法的權限，而僅僅根據目前方法的權限來判斷使用者是否能通路某個resource。也即可以規定使用者隻能用某種預定的方式來通路其本來不能通路的resource。

使用doprivileged方法和使用setuid位都有需要注意的地方，例如僅執行必要的操作。否則，可能帶來安全上的問題。