如果没有JAR (Java Archive)的存在,Java也许不至于像今天这样大行天下。JAR 是一个将其他文件或JAR捆绑在一起,并以.jar做为扩展名的文件。它使用与Zip相同的格式进行压缩,所以适用于任何支持Zip压缩的系统环境。由于是压缩格式,这使得它在网络上的传输十分迅速。JAR的manifest文件使得我们可以对JAR包进行数字签名,版本控制,包密封(Seal),和设置程序的执行入口等,另外,从Java 5 开始在META-INF文件夹下生成索引文件INDEX.LIST,可以大大缩短了JAR文件中类的加载时间。
这篇文章主要探讨一下JAR中的Package Sealing功能。这个功能是在Java 1.2引入的。在生成Jar文件时我们可以指定是否将整个Jar或者其中某几个Package进行密封,如果是将Jar文件整个进行密封,那就意味着其内所有的Package都被密封了。Package一旦密封,那么Java 虚拟机一旦成功装载密封Package中的某个类后,其后所有装载的带有相同Package名的类必须来自同一个Jar文件,否则将触发Sealing Violation安全异常。闲话不多说,让我们在如下几个方面开始Package Sealing的探秘之旅吧。
我们先看看 JAR文件是如何通过manifest文件来对Jar文件中的Package进行密封。主要有两种密封方式
Manifest-Version: 1.0
Name: com/tr/algorithm/test/box/
Sealed: true
Name: com/tr/algorithm/search/
Sealed: true
Name: com/tr/multiThreads/
Sealed: true
Name: com/tr/algorithm/BinaryTree/
Sealed: true
Manifest-Version: 1.0
Sealed: true
知道了如何对Package进行密封后,我们一起来看看Java源代码中是如何触发Sealing Violation。我使用的JDK版本为1.6
java version "1.6.0_24"
Java(TM) SE Runtime Environment (build 1.6.0_24-b50)
Java HotSpot(TM) Client VM (build 19.1-b02, mixed mode)
String pkgname = name.substring(0, i);
Package pkg = getPackage(pkgname);
Manifest man = res.getManifest();
if (pkg != null) {
/*
* 如果当前试图加载的类,例如com.seal.util.DateUtil.java,所对应的Package
* 例如com.seal.util,已经被ClassLoader装载。
*/
if (pkg.isSealed()) {
/*
*如果当前装载的类,例如com.seal.util.DateUtil.java,所对应的Package com.seal.util 已经被装载且密封,
*但当前装载的类的URI和已经装载的Package不同,通俗一点就是来自不同的Jar文件的话
*将触发安全异常。
*/
if (!pkg.isSealed(url)) {
throw new SecurityException(
"sealing violation: package " + pkgname + " is sealed");
}
} else { //如果这个Package已经被装载,但没有被密封。
/*
*查看当前正在装载的类,例如com.seal.util.DateUtil.java ,所对应的Package com.seal.util 是否需要密封。
*如果是的话,将触发安全异常。因为,JVM不允许对已经装载的Package再进行密封。
*/
if ((man != null) && isSealed(pkgname, man)) {
throw new SecurityException(
"sealing violation: can't seal package " + pkgname +
": already loaded");
}
}
} else {
/*
*如果当前试图加载的类对应的Package没有被ClassLoader装载,则试图加载该Package。
*如果Manifest文件非空,则会使用Manifest来定义这个Package,当然,这包含是否对Package进行密封。
*/
if (man != null) {
definePackage(pkgname, man, url);
} else {
definePackage(pkgname, null, null, null, null, null, null, null);
}
}
Package Sealing所能带来的好处主要是版本一致性. 我们知道Java 在运行时是严格按照classpath中定义的顺序进行装载和检查,尤其是现在Java开源包满天飞, 很有可能你的Java应用程序或者中间件的classpath中会在不同的Jar文件中包含同一个Package的不同版本。这会使得程序运行产生不一致性结果,很难发现。
第一例子的大背景是对发布的Jar包进行版本升级给用户使用。在版本一中我们有DateUtil和StringUtil 两个类
package com.seal.util;
public class DateUtil {
public void DoDateStuff(){
System.out.println("doing date stuffs in version 1.0");
}
}
package com.seal.util;
public class StringUtil {
public void DoStringStuff(){
System.out.println("doing string stuffs in version 1.0");
}
}
Manifest-Version: 1.0
Sealed: true
package com.seal.util;
public class DateUtil {
public void DoDateStuff(){
System.out.println("doing date stuffs in version 2.0");
}
}
package com.seal.util;
public class StringUtil {
public void DoStringStuff(){
System.out.println("doing string stuffs in version 2.0");
}
}
package com.seal.util;
public class NumberUtil {
public void DoNumberStuff(){
System.out.println("doing number stuffs in version 2.0");
}
}
import com.seal.util.DateUtil;
import com.seal.util.NumberUtil;
import com.seal.util.StringUtil;
public class SealTestCase1 {
public static void main(String[] args){
DateUtil du = new DateUtil();
du.DoDateStuff();
StringUtil su = new StringUtil();
su.DoStringStuff();
NumberUtil nu = new NumberUtil();
nu.DoNumberStuff();
}
}
执行如下命令编译SealTestCase1类。
javac -classpath .;D:\sealingTest\case_1\sealed_v1.jar;D:\sealingTest\case_1\sealed_v2.jar SealTestCase1.java
执行如下命令运行SealTestCase1类。
java -classpath .;D:\sealingTest\case_1\sealed_v1.jar;D:\sealingTest\case_1\sealed_v2.jar SealTestCase1
doing date stuffs in version 1.0
doing string stuffs in version 1.0
Exception in thread "main" java.lang.SecurityException: sealing violation: package com.seal.util is sealed
at java.net.URLClassLoader.defineClass(URLClassLoader.java:234)
at java.net.URLClassLoader.access$000(URLClassLoader.java:58)
at java.net.URLClassLoader$1.run(URLClassLoader.java:197)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(URLClassLoader.java:190)
at java.lang.ClassLoader.loadClass(ClassLoader.java:305)
at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:301)
at java.lang.ClassLoader.loadClass(ClassLoader.java:246)
at SealTestCase1.main(SealTestCase1.java:14)
public class SealTestCase1 {
public static void main(String[] args){
/*
* JVM 装载 com.seal.util.DateUtil类,由于Classpath 中sealed_v1.jar在最前面,
* 所以,com.seal.util.DateUtil类来自于sealed_v1.jar。我们知道sealed_v1.jar是被整个密封的。
* JVM 会将Package com.seal.util 进行装载并密封。
*/
DateUtil du = new DateUtil();
du.DoDateStuff();
/*
* 同样,sealed_v1.jar在classpath中比sealed_v2.jar靠前,
* 类 com.seal.util.StringUtil 也会在sealed_v1.jar中进行装载。
* 由于Package com.seal.util之前已经被装载并密封,而且类com.seal.util.StringUtil与
* 类com.seal.util.DateUtil 来自于相同的Jar文件。所以,不会出现什么问题。顺利通过安全管理器的校验。
*/
StringUtil su = new StringUtil();
su.DoStringStuff();
/*
* JVM试图装载类com.seal.util.NumberUtil时,发现该类根本没在sealed_v1.jar中
* 所以,继续查找sealed_v2.jar,并找到该类。
* 但JVM发现之前装载的Package com.seal.util 已经被装载并密封,而且来自sealed_v1.jar,
* 而这个类确来自sealed_v2.jar。这是JVM会报安全异常错误。
*/
NumberUtil nu = new NumberUtil();
nu.DoNumberStuff();
}
}
java -classpath .;D:\sealingTest\case_1\sealed_v2.jar;D:\sealingTest\case_1\sealed_v1.jar SealTestCase1
doing date stuffs in version 2.0
doing string stuffs in version 2.0
doing number stuffs in version 2.0
第二个例子是某官方发布了一个密封的Jar文件 sealed_official_release.jar。其类如下
package com.seal.util;
public class DateUtil {
public void DoDateStuff(){
System.out.println("doing date stuffs officially");
}
}
package com.seal.util;
public class NumberUtil {
public void DoNumberStuff(){
System.out.println("doing number stuffs officially");
}
}
package com.seal.util;
public class StringUtil {
public void DoStringStuff(){
System.out.println("doing string stuffs officially");
}
}
package com.seal.util;
public class DateUtil {
public void DoDateStuff(){
System.out.println("doing modified date stuffs by third party");
}
}
package com.seal.util;
public class StringUtil {
public void DoStringStuff(){
System.out.println("doing modified string stuffs by third party");
}
}
那这时,用户手里可能有这两个不同的Jar文件,并且需要运行如下程序
import com.seal.util.DateUtil;
import com.seal.util.NumberUtil;
import com.seal.util.StringUtil;
public class SealTestCase2 {
public static void main(String[] args){
DateUtil du = new DateUtil();
du.DoDateStuff();
StringUtil su = new StringUtil();
su.DoStringStuff();
NumberUtil nu = new NumberUtil();
nu.DoNumberStuff();
}
}
运行如下命令,编译类SealTestCase2.java。
javac -classpath .;D:\sealingTest\case_2\unsealed_3rdparty_release.jar;D:\sealingTest\case_2\sealed_official_release.jar SealTestCase2.java
运行如下命令运行SealTestCase2.java。
java -classpath .;D:\sealingTest\case_2\unsealed_3rdparty_release.jar;D:\sealingTest\case_2\sealed_official_release.jar SealTestCase2
doing modified date stuffs by third party
doing modified string stuffs by third party
Exception in thread "main" java.lang.SecurityException: sealing violation: can't
seal package com.seal.util: already loaded
at java.net.URLClassLoader.defineClass(URLClassLoader.java:242)
at java.net.URLClassLoader.access$000(URLClassLoader.java:58)
at java.net.URLClassLoader$1.run(URLClassLoader.java:197)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(URLClassLoader.java:190)
at java.lang.ClassLoader.loadClass(ClassLoader.java:305)
at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:301)
at java.lang.ClassLoader.loadClass(ClassLoader.java:246)
at SealTestCase2.main(SealTestCase2.java:15)
public class SealTestCase2 {
public static void main(String[] args){
/*
* JVM 装载 com.seal.util.DateUtil类,由于Classpath 中unsealed_3rdparty_release.jar在最前面,
* 所以,com.seal.util.DateUtil类来自于unsealed_3rdparty_release.jar。
* 我们知道unsealed_3rdparty_release.jar是没有被密封的。
* JVM 会将Package com.seal.util 进行装载但不会密封它。
*/
DateUtil du = new DateUtil();
du.DoDateStuff();
/*
* 同样,unsealed_3rdparty_release.jar在classpath中比sealed_official_release.jar靠前,
* 类 com.seal.util.StringUtil 也会在unsealed_3rdparty_release.jar中进行装载。
* 由于Package com.seal.util之前已经被装载但没有密封,
* 所以,不会出现什么问题。顺利通过安全管理器的校验。
*/
StringUtil su = new StringUtil();
su.DoStringStuff();
/*
* JVM试图装载类com.seal.util.NumberUtil时,发现该类根本没在unsealed_3rdparty_release.jar中
* 所以,继续查找sealed_official_release.jar,并找到该类。请注意sealed_official_release.jar
* 是被密封的。所以,JVM试图对Package com.seal.util 进行密封。
* 但JVM发现Package com.seal.util 已经被装载。
* 这时,JVM会报安全异常错误。
*/
NumberUtil nu = new NumberUtil();
nu.DoNumberStuff();
}
}
doing date stuffs officially
doing string stuffs officially
doing number stuffs officially