AI 助理
备案控制台
开发者社区 安全 文章 正文

如何防止单例模式被JAVA反射攻击

2016-01-15 1372
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:     单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:package com.

    单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:

package com.effective.singleton;

public class Elvis
{
    private static boolean flag = false;

    private Elvis(){
    }

    private  static class SingletonHolder{
        private static final Elvis INSTANCE = new Elvis();
    }

    public static Elvis getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}
    但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。
    这里举个例子,通过JAVA的反射机制来“攻击”单例模式: 
package com.effective.singleton;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

public class ElvisReflectAttack
{

    public static void main(String[] args) throws InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException
    {
        Class<?> classType = Elvis.class;

        Constructor<?> c = classType.getDeclaredConstructor(null);
        c.setAccessible(true);
        Elvis e1 = (Elvis)c.newInstance();
        Elvis e2 = Elvis.getInstance();
        System.out.println(e1==e2);
    }

}
   运行结果:false
   可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。
   如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。
   经修改后: 
package com.effective.singleton;

public class ElvisModified
{
    private static boolean flag = false;

    private ElvisModified(){
        synchronized(ElvisModified.class)
        {
            if(flag == false)
            {
                flag = !flag;
            }
            else
            {
                throw new RuntimeException("单例模式被侵犯!");
            }
        }
    }

    private  static class SingletonHolder{
        private static final ElvisModified INSTANCE = new ElvisModified();
    }

    public static ElvisModified getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}
    测试代码: 
package com.effective.singleton;

import java.lang.reflect.Constructor;

public class ElvisModifiedReflectAttack
{

    public static void main(String[] args)
    {
        try
        {
            Class<ElvisModified> classType = ElvisModified.class;

            Constructor<ElvisModified> c = classType.getDeclaredConstructor(null);
            c.setAccessible(true);
            ElvisModified e1 = (ElvisModified)c.newInstance();
            ElvisModified e2 = ElvisModified.getInstance();
            System.out.println(e1==e2);
        }
        catch (Exception e)
        {
            e.printStackTrace();
        }
    }
}
    运行结果: 
Exception in thread "main" java.lang.ExceptionInInitializerError
    at com.effective.singleton.ElvisModified.getInstance(ElvisModified.java:27)
    at com.effective.singleton.ElvisModifiedReflectAttack.main(ElvisModifiedReflectAttack.java:17)
Caused by: java.lang.RuntimeException: 单例模式被侵犯!
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:16)
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:7)
    at com.effective.singleton.ElvisModified$SingletonHolder.<clinit>(ElvisModified.java:22)
    ... 2 more
    可以看到,成功的阻止了单例模式被破坏。
    从JDK1.5开始,实现Singleton还有新的写法,只需编写一个包含单个元素的枚举类型。推荐写法: 
package com.effective.singleton;

public enum SingletonClass
{
    INSTANCE;

    public void test()
    {
        System.out.println("The Test!");
    }
}
    测试代码: 
package com.effective;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

import com.effective.singleton.SingletonClass;

public class TestMain
{

    public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException
    {
        Class<SingletonClass> classType = SingletonClass.class;
        Constructor<SingletonClass> c = (Constructor<SingletonClass>) classType.getDeclaredConstructor();
        c.setAccessible(true);
        c.newInstance();
    }
}
    运行结果: 
Exception in thread "main" java.lang.NoSuchMethodException: com.effective.singleton.SingletonClass.<init>()
    at java.lang.Class.getConstructor0(Unknown Source)
    at java.lang.Class.getDeclaredConstructor(Unknown Source)
    at com.effective.TestMain.main(TestMain.java:22)
    由此可见这种写法也可以防止单例模式被“攻击”。
    而且这种写法也可以防止序列化破坏单例模式,具体不在举例了,有关序列化以及单例模式被序列化破坏可以参考博文《JAVA序列化》(链接:http://blog.csdn.net/u013256816/article/details/50474678)。
    单元素的枚举类型已经成为实现Singleton模式的最佳方法。

文章标签:
Java
安全
关键词:
Java反射
Java单例模式
Java攻击
单例模式Java
朱小厮
目录
相关文章
三三是该溜子
|
11月前
|
Java 数据库连接 Spring
反射-----浅解析(Java)
在java中,我们可以通过反射机制,知道任何一个类的成员变量(成员属性)和成员方法,也可以堆任何一个对象,调用这个对象的任何属性和方法,更进一步我们还可以修改部分信息和。
三三是该溜子
117 3
智物科技库
|
12月前
|
监控 Java
Java基础——反射
本文介绍了Java反射机制的基本概念和使用方法,包括`Class`类的使用、动态加载类、获取方法和成员变量信息、方法反射操作、以及通过反射了解集合泛型的本质。同时,文章还探讨了动态代理的概念及其应用,通过实例展示了如何利用动态代理实现面向切面编程(AOP),例如为方法执行添加性能监控。
智物科技库
128 5
技术混子
|
12月前
|
设计模式 Java 数据库连接
Java编程中的设计模式:单例模式的深度剖析
【10月更文挑战第41天】本文深入探讨了Java中广泛使用的单例设计模式,旨在通过简明扼要的语言和实际示例,帮助读者理解其核心原理和应用。文章将介绍单例模式的重要性、实现方式以及在实际应用中如何优雅地处理多线程问题。
技术混子
176 4
游客moiomvrp3vyac2
|
设计模式 安全 Java
Java编程中的单例模式深入解析
【10月更文挑战第31天】在编程世界中,设计模式就像是建筑中的蓝图,它们定义了解决常见问题的最佳实践。本文将通过浅显易懂的语言带你深入了解Java中广泛应用的单例模式,并展示如何实现它。
游客moiomvrp3vyac2
126 1
mrq4nk6ni2neg
|
设计模式 安全 Java
Java编程中的单例模式:理解与实践
【10月更文挑战第31天】在Java的世界里,单例模式是一种优雅的解决方案,它确保一个类只有一个实例,并提供一个全局访问点。本文将深入探讨单例模式的实现方式、使用场景及其优缺点,同时提供代码示例以加深理解。无论你是Java新手还是有经验的开发者,掌握单例模式都将是你技能库中的宝贵财富。
mrq4nk6ni2neg
342 2
兴化
|
Java
Java的反射
Java的反射。
兴化
116 2
技术混子
|
设计模式 SQL 安全
Java编程中的单例模式深入解析
【10月更文挑战第24天】在软件工程中,单例模式是设计模式的一种,它确保一个类只有一个实例,并提供一个全局访问点。本文将探讨如何在Java中使用单例模式,并分析其优缺点以及适用场景。
技术混子
91 0
shuj
|
设计模式 安全 Java
Java编程中的单例模式深入剖析
【10月更文挑战第21天】在Java的世界里,单例模式是设计模式中一个常见而又强大的存在。它确保了一个类只有一个实例,并提供一个全局访问点。本文将深入探讨如何正确实现单例模式,包括常见的实现方式、优缺点分析以及最佳实践,同时也会通过实际代码示例来加深理解。无论你是Java新手还是资深开发者,这篇文章都将为你提供宝贵的见解和技巧。
shuj
199 65
Dylaniou
|
设计模式 SQL 安全
【编程进阶知识】Java单例模式深度解析:饿汉式与懒汉式实现技巧
本文深入解析了Java单例模式中的饿汉式和懒汉式实现方法,包括它们的特点、实现代码和适用场景。通过静态常量、枚举类、静态代码块等方式实现饿汉式,通过非线程安全、同步方法、同步代码块、双重检查锁定和静态内部类等方式实现懒汉式。文章还对比了各种实现方式的优缺点,帮助读者在实际项目中做出更好的设计决策。
Dylaniou
357 0
LKIDTI数据
|
IDE Java 编译器
java的反射与注解
java的反射与注解
LKIDTI数据
98 0

热门文章

最新文章

  • 1
    百宝箱开放平台 ✖️ Java SDK
  • 2
    【Azure Storage Account】Java Code访问Storage Account File Share的上传和下载代码示例
  • 3
    《深入理解Spring》:现代Java开发的核心框架
  • 4
    Java 设计模式之策略模式:灵活切换算法的艺术
  • 5
    从零掌握贪心算法Java版:LeetCode 10题实战解析(上)
  • 6
    Java 设计模式之状态模式:让对象的行为随状态优雅变化
  • 7
    Java语言实现字母大小写转换的方法
  • 8
    java零基础学习者入门课程
  • 9
    Java 设计模式之观察者模式:构建松耦合的事件响应系统
  • 10
    提供一些准备Java八股文面试的建议
  • 1
    Java 设计模式之策略模式:灵活切换算法的艺术
    202
  • 2
    Java 设计模式之观察者模式:构建松耦合的事件响应系统
    178
  • 3
    Java 设计模式之状态模式:让对象的行为随状态优雅变化
    195
  • 4
    java零基础学习者入门课程
    205
  • 5
    Java 设计模式之责任链模式:优雅处理请求的艺术
    158
  • 6
    【Azure Storage Account】Java Code访问Storage Account File Share的上传和下载代码示例
    296
  • 7
    百宝箱开放平台 ✖️ Java SDK
    1180
  • 8
    《深入理解Spring》:现代Java开发的核心框架
    345
  • 9
    用Java语言实现一个自定义的ArrayList类
    77
  • 10
    从混沌到秩序:Java共享内存模型如何通过显式约束驯服并发?
    46

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0
    • 下一篇
    阿里云对象存储OSS收费标准:500G存储118元1年、