Java安全基础 必备概念理解

Java安全基础 关键概念汇总

文章目录

  • Java安全基础 关键概念汇总
    • 前置知识
    • 1.构造器this以及包的使用
    • 2.继承
    • 3.重写/ 重载 / super
    • 4.多态
    • 5.区分`==`和`equals`方法
    • 6.toString的使用
    • 7.Object的概念
    • 8.static,final,代码块
      • static
      • 代码块
      • final
    • 9.动态代理
    • 10.类的动态加载
      • 1)类加载器含义(类的底层实现)
      • 2)ClassLoader
      • 3)类加载器的核心方法
      • 4)**双亲委派模型过程**(强调逻辑关系不是继承关系)
      • 5)**双亲委派模型的系统实现**
      • 6)ClassLoader(类加载机制)
      • 7)类加载流程(关注加载后是否初始化)
      • 8)动态类的加载方法
      • 安全关注:实现加载任意类(字节码)

前置知识

了解Java基本面向对象语法以及反射

1.构造器this以及包的使用

假设在Person类中

this.name=name this指代Person类的对象等价于Person.name=name

就是 当前类的引用

应用:主要作用就是区分类中的成员属性和变量(比如同名时进行区分)

包中使用遵循见包起名import导入

2.继承

关键字extends

经典的父子关系,子类可以继承父类的public成员属性和成员方法

但私有的private无法继承

子类可以在父类的基础上有自己的特性

3.重写/ 重载 / super

重写概念:子类继承父类后,对同名同参数的方法进行覆盖

与重载区分开:重载是同名跟紧不同参数执行不同方法(注意几个参数)

关键词super 可以直接调用父类的构造方法,成员变量,成员方法

应用:一般多用于 重写后 区分子类和父类方法以及属性(同名)

4.多态

对象的多态性核心:父类的指针指向子类对象

例如 我们创建了父类Animal 子类Dog Dog继承了Animal

典型例子:Animal dog=new Dog(); 的代码

实际调用的是 父类中声明过的 子类方法和属性

**父类的指针指向子类对象 **换句话说就是 具体实现的类还是子类new Dog()

不过声明 对象时 为 缩小的能力声明

多态性

  1. 变量类型声明只是调用能力声明
  2. 子类型对象的能力一定不小于父类型对象的能力;
  3. 真正的行为表现要看其具体对象的类型,而不是看引用变量的类型。

5.区分==equals方法

equals:比较两个内存地址值是否相同

Dog dog1=new Dog(); //在new时分配对象产生内存空间
Dog dog2=new Dog();
dog1.equals(dog2)//返回False
对象具体的分配内存空间不同

== :判断具体的值是否相同

6.toString的使用

输出 引用对象,自动调用类中的toString方法

7.Object的概念

Java中所有对象的根父类

8.static,final,代码块

static

不用初始化创建对象 就可以调用成员方法和属性类名.属性 //类名. 方法名()

代码块

1.代码块{}

2.静态代码块statci{}

3.构造器Dog(){}

调用顺序 静态代码块---->代码块----->构造器

为什么是这个调用顺序了?

详见10.类的动态加载

final

可以理解为 最后 的修改

final 修饰 类 类不可被调用

final 修饰 方法 方法不可被重写

final 修饰变量 变量不可被修改

当然通过反射也是可以修改

9.动态代理

参考:https://www.liaoxuefeng.com/wiki/1252599548343744/1264804593397984

回顾一下

Java的classinterface的区别:

  • 可以实例化class(非abstract);

  • 不能实例化interface

代理含义:通过继承和多态实现间接调用

动态代码:运行期动态创建某个interface的实例,没有实现类但是在运行期动态创建了一个接口对象的方式

动态代理具体实现过程

  1. 定义一个InvocationHandler实例,它负责实现接口的方法调用(具体实现);

  2. 通过

    Proxy.newProxyInstance()
    

    创建接口实例

    interface
    

    它需要3个参数:

    1. 使用的ClassLoader,通常就是接口类的ClassLoader
    2. 需要实现的接口数组,至少需要传入一个接口进去;
    3. 用来处理接口方法调用的InvocationHandler实例。
  3. 将返回的Object强制转型为接口。

例子

public class Main {
    public static void main(String[] args) {
        InvocationHandler handler = new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                System.out.println(method);
                if (method.getName().equals("morning")) {
                    System.out.println("Good morning, " + args[0]);
                }
                return null;
            }
        };
        Hello hello = (Hello) Proxy.newProxyInstance(
            Hello.class.getClassLoader(), // 传入ClassLoader
            new Class[] { Hello.class }, // 传入要实现的接口
            handler); // 传入处理调用方法的InvocationHandler
        hello.morning("Bob");
    }
}

interface Hello {
    void morning(String name);
}

实现 代理.方法名 传递方法名 到具体实现类调用方法名

应用:无危害类的.abc方法----->无危害类代理危害类----->触发 危害类.abc方法

非开发预期的危险调用 CC1链

10.类的动态加载

image-20240317184237724

1)类加载器含义(类的底层实现)

image-20240317162740230

类加载器(ClassLoader)是Java语言的一项创新,也是Java流行的一个重要原因。在类加载的第一阶段“加载”过程中,需要通过一个类的全限定名来获取定义此类的二进制字节流,完成这个动作的代码块就是类加载器。这一动作是放在Java虚拟机外部去实现的,以便让应用程序自己决定如何获取所需的类

类加载器的开放性使得Java应用程序可以灵活地从不同的来源获取类的二进制字节流(字节码),包括从ZIP包、网络、运行时计算、其他文件

启动类加载器(Bootstrap ClassLoader):

这个类加载器负责将\lib目录下的类库加载到虚拟机内存中,用来加载java的核心库,此类加载器并不继承于java.lang.ClassLoader,不能被java程序直接调用,代码是使用C++编写的.是虚拟机自身的一部分.

扩展类加载器(Extendsion ClassLoader):

这个类加载器负责加载\lib\ext目录下的类库,用来加载java的扩展库,开发者可以直接使用这个类加载器.

应用程序类加载器(Application ClassLoader):

这个类加载器负责加载用户类路径(CLASSPATH)下的类库,一般我们编写的java类都是由这个类加载器加载,这个类加载器是CLassLoader中的getSystemClassLoader()方法的返回值,所以也称为系统类加载器.一般情况下这就是系统默认的类加载器.

除此之外,我们还可以加入自己定义的类加载器,以满足特殊的需求,需要继承java.lang.ClassLoader类

2)ClassLoader

所有的Java类都必须经过JVM加载后才能运行,ClassLoader的主要作用就是Java类文件的加载。在JVM类加载器中最顶层的是Bootstrap ClassLoader(引导类加载器)Extension ClassLoader(扩展类加载器)App ClassLoader(系统类加载器)AppClassLoader是默认的类加载器,如果类加载时我们不指定类加载器的情况下

默认会使用AppClassLoader加载类,

ClassLoader.getSystemClassLoader()返回的系统类加载器也是AppClassLoader

某些时候我们获取一个类的类加载器时候可能会返回一个null值,如:java.io.File.class.getClassLoader()将返回一个null对象,因为java.io.File类在JVM初始化的时候会被Bootstrap ClassLoader(引导类加载器)加载(该类加载器实现于JVM层,采用C++编写),我们在尝试获取被Bootstrap ClassLoader类加载器所加载的类的ClassLoader时候都会返回null

3)类加载器的核心方法

  1. loadClass(加载指定的Java类)
  2. findClass(查找指定的Java类)
  3. findLoadedClass(查找JVM已经加载过的类)
  4. defineClass(定义一个Java类)
  5. resolveClass(链接指定的Java类)

4)双亲委派模型过程(强调逻辑关系不是继承关系)

image-20240317200648600

双亲委派模型的工作过程为:如果一个类加载器收到了类加载的请求,它首先不会自己去尝试加载这个类,而是把这个请求委派给父类加载器去完成,每一个层次的加载器都是如此,因此所有的类加载请求都会传给顶层的启动类加载器,只有当父加载器反馈自己无法完成该加载请求(该加载器的搜索范围中没有找到对应的类)时,子加载器才会尝试自己去加载。

代码还会偷懒,不重复加载(向上寻找想偷懒)

使用双亲委派模型的好处在于Java类随着它的类加载器一起具备了一种带有优先级的层次关系。例如类java.lang.Object,它存在在rt.jar中,无论哪一个类加载器要加载这个类

因此带有优先级的层次关系 通过查询路径反应

最终都是委派给处于模型最顶端的Bootstrap ClassLoader(由Java实现C++编写,尝试获取被Bootstrap ClassLoader类加载器所加载的类附属性 的ClassLoader时候都会返回null)进行加载 就是 副属性 parent为null

因此Object类在程序的各种类加载器环境中都是同一个类。相反,如果没有双亲委派模型而是由各个类加载器自行加载的话,如果用户编写了一个java.lang.Object的同名类并放在ClassPath中,那系统中将会出现多个不同的Object类,程序将混乱。因此,如果开发者尝试编写一个与rt.jar类库中重名的Java类,可以正常编译,但是永远无法被加载运行。

5)双亲委派模型的系统实现

在java.lang.ClassLoader的loadClass()方法中,先检查是否已经被加载过,若没有加载则调用父类加载器的loadClass()方法,若父加载器为空则默认使用启动类加载器作为父加载器。如果父加载失败,则抛出ClassNotFoundException异常后,再调用自己的findClass()方法进行加载

6)ClassLoader(类加载机制)

Java程序在运行前需要先编译成class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码,ClassLoader会调用JVM的native方法(defineClass0/1/2)来定义一个java.lang.Class实例。

7)类加载流程(关注加载后是否初始化)

image-20240317170731088

让我们复习一下代码块

初始化

1.代码块{}

2.静态代码块statci{} 任何静态相关的操作自动调用

创建实例(过程中包括初始化)

3.构造器Dog(){}

解释为什是这个调用顺序 静态代码块---->代码块----->构造器

static {} 就是在“类初始化”的时候调⽤的,⽽ {} 中的代码会放在构造函数的 super() 后⾯,但在当前构造函数内容的前⾯

8)动态类的加载方法

1.Class.forName("类名")默认会初始化被加载类的静态属性和方法

2.ClassLoader.loadClass默认不会初始化类方法

安全关注:实现加载任意类(字节码)

image-20240317200648600

逻辑上EXT和APP关系如上图,但是继承上同级,都返回父类URLClassLoader查询

image-20240317183005265

URLClassloader : 支持 file://,jar://,http://

加载字节码方式(实例化)

1.通过反射加载defineClass(protected)

image-20240317211842192

2.Unsafe加载字节码

image-20240317212222841
方法为public,但是无法取unsafe,通过反射静态属性拿unsafe实例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/468579.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

LeetCode 热题 100 | 回溯(三)

目录 1 131. 分割回文串 2 51. N 皇后 菜鸟做题,语言是 C,感冒好了 ver. 1 131. 分割回文串 题眼:给你一个字符串 s,请你将 s 分割 成一些子串。 根据题眼可知,我们需要做的是将字符串 s 连续分割 为几段&#…

医保智慧购药:探索医保买药小程序技术开发与应用

如今,医保智慧购药成为了一种趋势,尤其是医保买药小程序的技术开发和应用,为患者提供了更加便捷、高效的医药购买体验。 医保买药小程序是一种基于手机移动终端的应用程序,它通过智能化的算法和医保系统的对接,为患者…

gPTP简介

1、gPTP(generalized precision time protocol)广义时钟同步协议 gPTP(generalized precision time protocol)广义时钟同步协议,即IEEE 802.1AS协议。它是IEEE 1588协议的延伸,可以为TSN提供全局精准…

Legacy|电脑Windows系统如何迁移到新安装的硬盘?系统迁移详细教程!

前言 前面讲了很多很多关于安装系统、重装系统的教程。但唯独没有讲到电脑换了新的硬盘之后,怎么把旧系统迁移到新的硬盘上。 今天小白就来跟各位小伙伴详细唠唠: 开始之前需要把系统迁移的条件准备好,意思就是在WinPE系统下,可…

【Linux】Linux权限详解(权限管理-目录权限-粘滞位)

主页:醋溜马桶圈-CSDN博客 专栏:Linux_醋溜马桶圈的博客-CSDN博客 gitee:mnxcc (mnxcc) - Gitee.com 目录 1.Linux权限的概念 2.Linux权限管理 2.1 文件访问者的分类 2.2 文件类型和访问权限 ​编辑 1.文件类型 2.基本权限 2. 3 文件权…

android adb 实时画面 和操作

1. 下载 scrcpy 建议 windows10 用户 点击链接下载 不然可能会提示缺少部分 dll https://github.com/Genymobile/scrcpy/releases/download/v2.3.1/scrcpy-win32-v2.3.1.ziphttps://github.com/Genymobile/scrcpy/releases/download/v2.3.1/scrcpy-win32-v2.3.1.zip windo…

Java语言: JVM

1.1 内存管理 1.1.1 JVM内存区域 编号 名字 功能 备注 1 堆 主要用于存放新创建的对象 (所有对象都在这里分配内存) jdk1.8之后永久代被替换成为了元空间(Metaspace) 2 方法区(加、常、静、即) 被虚拟机加载的类信息(版本、字段、方法、接口…

递推算法C++

所谓递推,是指从已知的初始条件出发,依据某种递推关系,逐次推出所要求的各中间结果及最后结果。其中初始条件或是问题本身已经给定,或是通过对问题的分析与化简后确定。从已知条件出发逐步推到问题结果,此种方法叫顺推…

Linux:网络的初步认知

文章目录 网络的认知如何理解协议网络分层OSI模型TCP/IP五层(或四层)模型网络传输的基本流程协议的参与局域网通信原理 本篇将会引入到网络的话题 网络的认知 第一个问题是,网卡是文件吗?答案是显然的,在Linux下一切皆文件,基于…

大模型日报 3月14日

资讯 研究 智能体的ChatGPT时刻!DeepMind通用AI向人类玩家进化,开始理解游戏 https://mp.weixin.qq.com/s/-GNZaY9vPQJCJUD7WGTjGA 视频游戏是 AI 系统的重要试验场。与现实世界一样,游戏也是丰富的学习环境,具有反应灵敏的实…

Hive SQL必刷练习题:向用户推荐朋友收藏的商品(两种思路)

问题需求: 需要请向所有用户推荐其朋友收藏但是用户自己未收藏的商品,请从好友关系表(friendship_info)和收藏表(favor_info)中查询出应向哪位用户推荐哪些商品。期望结果如下: 1)…

【算法专题突破】--- 动态规划 --- 第 N 个泰波那契数 三步问题(1)

1.第 N 个泰波那契数 1.题目解析 这个问题的理解其实相当简单,只需看一下示例,基本就能明白其含义了。 2.算法原理 1. 定义状态表 首先,我们要明白这道题的核心是找出一个序列中的数,这个序列遵循特定的规律:每个数…

简析|创业老隋分享的人力RPO项目如何?

在当今社会,创业热潮席卷而来,各类项目层出不穷。近日,创业老隋分享的人力RPO项目引起了广泛关注。那么,这个项目究竟如何呢?是否靠谱?经过深入了解和分析,我认为这个项目是靠谱的。 首先,从项目的背景和…

idea远程试调jar、远程试调war

idea远程试调jar、远程试调war 目的&#xff1a;测试运行时与ide开发时是否一致。 配置jar Maven中添加 <packaging>jar</packaging>将其打包为jar。 设置运行入口main 编译jar 看到jar输出 配置试调 添加jar运行 远程试调 先在源码中打好断点试调 debug运行…

angularjs 指令实现自定义滚动条

场景&#xff1a;横向商品栏&#xff0c;把原有的滚动条改成自定义的样式&#xff0c;并且给两边加上箭头可以调整&#xff0c;可以拖动商品和滚轮实现滚动条效果。 js appService.directive(customScrollbar, function() {return {restrict: A,transclude: true,scope: {ena…

Docker简介及用途,为什么要使用Docker?Docker容器和虚拟机的区别?

Docker简介 前言 前端有必要学习Docker吗&#xff1f;有&#xff01;&#xff01;不仅要学Docker&#xff0c;还要学习Kubernetes (K8s)&#xff0c;Jenkins 那问题来了&#xff0c;Docker,k8s,jenkins到底要先学习那个呢&#xff1f;当然是Docker 总结来说&#xff0c;先学习…

Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法

漏洞名称&#xff1a;Cookie信息泄露、Cookie安全性漏洞、Cookie未设置httponly属性 漏洞描述&#xff1a; cookie的属性设置不当可能会造成系统用户安全隐患&#xff0c;Cookie信息泄露是Cookiehttp only配置缺陷引起的&#xff0c;在设置Cookie时&#xff0c;可以设置的一个…

大厂设计师视角下的产品设计完整流程解析!

我相信在激烈的市场竞争中&#xff0c;我们看到了很多半途而废的竞争产品&#xff0c;产品设计过程可以为产品提供很好的解决方案。什么是产品设计过程&#xff1f;产品设计过程由以用户为中心的数字产品设计过程组成&#xff0c;遵循多学科方法。其主要目标是创造优秀的产品&a…

边缘计算+WEB端应用融合:AI行为识别智能监控系统搭建指南 -- 整体介绍(一)

专栏目录 边缘计算WEB端应用融合&#xff1a;AI行为识别智能监控系统搭建指南 – 整体介绍&#xff08;一&#xff09; 边缘计算WEB端应用融合&#xff1a;AI行为识别智能监控系统搭建指南 – 边缘设备图像识别及部署&#xff08;二&#xff09; 边缘计算WEB端应用融合&#xf…

语言、支付、社交:独立站本地化攻略全揭秘,助您征服海外市场

随着全球化的推进和互联网技术的飞速发展&#xff0c;独立站营销已成为许多企业开拓国际市场、提升品牌影响力的重要手段。然而&#xff0c;要在不同国家和地区取得成功&#xff0c;必须制定精准的本地化营销策略&#xff0c;以迎合目标市场的文化和习惯。本文Nox聚星将和大家探…