JAVA反射的安全性

对反射API的访问由安全管理器所控制.Field,Method和Constructor类都是由一个名为AccessibleObject的基类扩展的.AccessibleObject类有一个主要的方法,名为setAccessible(),由此可以在访问特定的类成员时解除平常所设定的安全性.Javadoc说明如下:
setAccessible

public void setAccessible(boolean flag)
throws SecurityException

Set the accessible flag for this object to the indicated boolean value. A value of true indicates that the reflected object should suppress Java language access checking when it is used. A value of false indicates that the reflected object should enforce Java language access checks.

First, if there is a security manager, its checkPermission method is called with a ReflectPermission("suppressAccessChecks") permission.

A SecurityException is raised if flag is true but accessibility of this object may not be changed (for example, if this element object is a Constructor object for the class Class).

A SecurityException is raised if this object is a Constructor object for the class java.lang.Class, and flag is true.

Parameters:
flag - the new value for the accessible flag
Throws:
SecurityException - if the request is denied.
See Also:
SecurityManager.checkPermission(java.security.Permission), RuntimePermission

Class类提供了两组方法来得到每一种特性.其中一组允许访问类的公共特性(其中包括由其超类所继承得到的成员),而另一组则允许访问在类中直接声明的任何公共或非公共成员(而不包括继承得来的成员),这要取决于有何安全性考虑.以下是一些例子:
.getFields()将返回一个Field对象数组,它表示一个类的所有公共变量,其中包括继承得到的公共变量.
.getDeclareFields()将返回一个数组,以表示类中声明的所有变量,而不论其访问修饰符如何(不包括安全管理器不允许看到的变量),但是不包括继承得到的变量.
.对于构造函数,"所有构造函数"和"所声明构造函数"之间无所谓差别(类不会继承构造函数),因此getConstructors()和getDeclaredConstructors()的唯一区别在于,前者返回的是公共构造函数,而后者则返回类的所有构造函数.

[@more@]

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/111631/viewspace-1041274/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/111631/viewspace-1041274/

你可能感兴趣的:(JAVA反射的安全性)