如何限制开发人员使用反射来访问Java中的私有方法和构造函数?
2022-09-01 19:13:50
如何限制开发人员使用反射来访问Java中的私有方法和构造函数?
使用普通的Java代码,我们无法访问类外的私有构造函数或私有方法。但是通过使用反射,我们可以访问Java类中的任何私有方法和构造函数。
那么,我们如何为Java代码提供安全性呢?
答案 2
在所有私有方法/构造函数中添加方法。检查权限 使用 断言 。checkPermission()sun.reflect.Reflection.getCallerClass(int n)callerClass=selfClass
返回方法的类,该方法在堆栈中向上帧(从零开始),忽略 与 关联的帧及其实现。第一帧是与此方法关联的帧,因此返回 的 Class 对象。getCallerClassrealFramesToSkipjava.lang.reflect.Method.invoke()getCallerClass(0)sun.reflect.Reflection
public class PrivateConstructorClass {
private PrivateConstructorClass() {
checkPerMission();
//you own code go below
}
void checkPerMission() {
Class self = sun.reflect.Reflection.getCallerClass(1);
Class caller = sun.reflect.Reflection.getCallerClass(3);
if (self != caller) {
throw new java.lang.IllegalAccessError();
}
}
}
你可以尝试测试反射,它会失败:
public class TestPrivateMain {
Object newInstance() throws Exception {
final Class<?> c = Class.forName("package.TestPrivate");
final Constructor<?> constructor = c.getDeclaredConstructor();
constructor.setAccessible(true);
return constructor.newInstance();
}
public static void main(String[] args) throws Exception {
Object t = new TestPrivateMain().newInstance();
}
}
推荐
-
如何更改最近应用程序列表显示的快照? 在较新版本的Android(>3.0)中,有一个屏幕按钮,将显示最近使用的应用程序及其名称和快照的列表。即使我的应用本身受密码保护,此概述也可能在该快照中显示敏感数据。那么有没有办法强
-
-
Diffie-Hellman 在 Java 中的密钥交换 我正在用Java进行一个个人项目,该项目涉及通过不安全的通道发送敏感数据。我需要知道如何使用其库在java中实现Diffie Hellman密钥交换(DHKE)。我知道所有关于它的加密理论,所以不需要详细
-
如何向 Spring MVC 控制器方法添加自定义安全注释 我正在使用Java 8,Spring MVC 4,Spring Boot和Gradle作为我的REST应用程序。 我想通过某些Spring MVC 4控制器中的自定义方法注释为我的REST应用程序添加安全性。 下面是一个基本示例。 主控制器.java
-
标签
推荐