java沙箱的第一个组成部分是java语言内在安全机制,作用是保护主机内存中的资源。


一、语言安全结构

1,访问级别

private  

默认  

protected 

public


2,强制规则:

一)严格遵循访问方法的要求

二)程序不能访问任意的内存地址。java中没有指针,容易做到,如int类型强制转化为Object在java中就是非法的,Integer可以

三)不能再次改动final实体 

四)变量初始之前不能使用

五)数组越界检查

六)不能任意强制转换


3,序列化和内存完整性

话题:java中RMI使用广泛,序列化是RMI的基础,序列化一个对象中的私有成员必然需要,但是这与私有成员不能随意被访问是有矛盾的。

如何能网开一面:

首先:序列化仅适用于java.io.Servializable接口类型对象,要求对象实现此接口才能序列化。(Servializable此接口是个空接口)

第二:private transient关键字申明的变量,不能序列化

第三:用指定的对象和方法完成序列化操作(writeObject()、readObject()),至于用户代码是否能够重载这些方法都需要权限设定。


二、语言规则的实施

以上定义的结构和规则,靠编译器和字节码校验器还实施。

1,编译

实施java语言规则,但不是全部,如数组越界检查就不能靠编译来实施


2,字节码校验器

一)检验是否为合法的java码

如:对象转换、操作数栈溢出、只有一个超类、final不能派生、类文件格式等等

二)推迟校验和效率

如:分支语句 和 异常语句,都需要运行到分支或异常发生后再检验,目的是为了提升效率。


3,运行时实施

一)数组越界。字节码校验能够检查出部分越界,但通常,还需要运行是实现数组的越界检查,抛出ArrayIndexOutOfBoundsException运行时异常

二)对象类型转换。字节码校验擅长”检查无关类之间的转化“,对于超类转子类的情况需要虚拟机查看合法性,并抛出ClassCastException异常,注意是运行时异常啊 呵呵!