【转】关于AccessController.doPrivileged

最近在看一些框架代码，偶尔都会遇到accesscontroller.doprivileged()方法的使用，虽然之前在《深入解析java虚拟机》这本书上看到过对这个方法的解释，但是貌似当时没有真正理解，虽然到现在对这个方法的概念还比较模糊，感觉这边文章介绍的挺清晰的，因而转载过来。

accesscontroller.doprivileged是一个在accesscontroller类中的静态方法，允许在一个类实例中的代码通知这个accesscontroller：它的代码主体是享受"privileged(特权的)"，它单独负责对它的可得的资源的访问请求，而不管这个请求是由什么代码所引发的。

这就是说，一个调用者在调用doprivileged方法时，可被标识为 "特权"。在做访问控制决策时，如果checkpermission方法遇到一个通过doprivileged调用而被表示为 "特权"的调用者，并且没有上下文自变量，checkpermission方法则将终止检查。如果那个调用者的域具有特定的许可，则不做进一步检查，checkpermission安静地返回，表示那个访问请求是被允许的；如果那个域没有特定的许可，则象通常一样，一个异常被抛出。

一、"特权"特性的正常使用如下所示：

1、如果你不需要从"特权"块内返回一个值，按下列代码去做：

somemethod() {

      ...normal code here...

      accesscontroller.doprivileged(new privilegedaction() {

             public object run() {

                   // privileged code goes here, for example:

                    system.loadlibrary("awt");

                    returnnull; // nothing to return

            }

      });

}

privilegedaction是一个接口，它带有一个被称为run的方法，这个方法返回一个object。上述例子显示了一个用来实现那个接口的匿名内类的创建，并提供了一个run方法的具体实现。

当做一个doprivileged调用时，一个privilegedaction实现的实例被传递给它。doprivileged方法在使特权生效后，从privilegedaction实现中调用run方法，并返回run方法的返回值以作为doprivileged的返回值，这一点在本例中被忽略。

2、如果你需要返回一个值，你可按如下方法去做：

        ...normal code here...

        string user = (string) accesscontroller.doprivileged(new privilegedaction() {

                  public object run() {

                         return system.getproperty("user.name");

                 }

        });

3、如果用你的run方法执行的动作可能扔出一个"检查"的异常（包括在一个方法的throws子句列表中），则你需要使用privilegedexceptionaction接口，而不是使用privilegedaction接口：

somemethod() throws filenotfoundexception {

        try {

               fileinputstream fis = (fileinputstream)

               accesscontroller.doprivileged(new privilegedexceptionaction() {

                     public object run() throws filenotfoundexception {

                            returnnew fileinputstream("somefile");

                     }

               });

        } catch (privilegedactionexception e) {

                  // e.getexception() should be an instance of

                 // filenotfoundexception,

                 // as only "checked" exceptions will be "wrapped" in a

                 // privilegedactionexception.

                throw (filenotfoundexception) e.getexception();

        }

       ...normal code here...

有关被授予特权的一些重要事项：

首先，这个概念仅存在于一个单独线程内。一旦特权代码完成了任务，特权将被保证清除或作废。

第二，在这个例子中，在run方法中的代码体被授予了特权。然而，如果它调用无特权的不可信代码，则那个代码将不会获得任何特权；只有在特权代码具有许可并且在直到checkpermission调用的调用链中的所有随后的调用者也具有许可时, 一个许可才能被准予。

二、使用事例：

final string name = myclass.class.getname();

string classname = accesscontroller.doprivileged(new privilegedaction<string>() {

                public string run() {

                    return system.getproperty(name);

});关于accesscontroller.doprivileged- -

来自不同的位置的代码可以由一个codesource对象描述其位置和签名证书。根据代码的codesource的不同，代码拥有不同的权限。例如所有java sdk自带的代码都具有所有的权限，而applet中的代码则具有非常受限的权限，用户编写的代码可以自己定制权限（通过securitymanager）。

当执行一段代码时，这段代码的stacktrace包含了从main开始所有正在被调用而且没有结束的方法。在这个调用过程中，很有可能出现跨多个不同的codesource的调用序列。由于codesource不同，这些代码通常拥有不同的权限集。只有所有途经的codesource都具有对应的权限集合时，当前正在运行的代码才能存取某个resource。

而doprivileged方法是对这个规则的一种补充。他类似于unix中的setuid程序。unix中的login程序必须访问password文件从而获得用户授权信息，但是用户不能随意的访问password文件。因此，login程序具有setuid位，它不管被哪个用户所调用，都具有root的权限。

调用doprivileged的方法不管其stacktrace中其他方法的权限，而仅仅根据当前方法的权限来判断用户是否能访问某个resource。也即可以规定用户只能用某种预定的方式来访问其本来不能访问的resource。

使用doprivileged方法和使用setuid位都有需要注意的地方，例如仅执行必要的操作。否则，可能带来安全上的问题。