从java的类装载器看安全

jave是安全的，这体现在多个方面，其中之一就是java类的加载，而且java类的加载安全机制体现出来的是一种原则，就是保持信息的单向流动而不是 杂糅的双向依赖总是一件好事，因为首先这样做会更加安全，其次这样做会降低耦合，更高层的意义上，这样做可以使得事情变得清晰明了，最后一点具有普遍性，我们的社会中的很多机构就是这么设计的。
关于java的类加载机制原理请看jvm规范，这里不再赘述。我想java类加载器中最安全的体现就在于类加载请求的逐级单向向上传递，这里的加载请求正是信息的单向流动。java之所以这么做是因为它的执行环境的复杂性，众所周知，java来自任何地方，可以到任何地方执行，这种任意的不确定性使得 java类比c++类更能体现出其整体性，c++类特性也许仅仅在开发阶段有意义，但是java类的意义却不但在开发而且在执行阶段，java虚拟机执行 的就是类，因此类必须作为一个整体传输了需要它的任何地方，既然有地方需要它，那么必然要加载它到内存，java类就好像一个货物一样，那么加载方式是任 意的吗？就好像c和c++那样载入内存就拉倒了吗？
我们想象一下卡车货运就明白了，如果任何人都可以往卡车里面装货并且在任何地方卸货，那是危险的，但是那是最危险的吗？不。因为谁有权装货谁有权卸货是另一个部门的事情，对于货物本身来说，最重要的莫过于货的内容，我们都知道上车前无论是人还是物，都要进行安检，就是这样道理，如果本来人家要的是鸡蛋，你给人家 送个，那收货的人就笑了，于是安检是很重要的一个环节，不但装货的时候要安检，卸货的时候还要安检，以确认就是收货人要的货。对于java类这种在互 联网上运输的二进制的数字货物而言，安检也是必须的，jvm实现了一套基于“委托”的类载入机制。大致意思就是一个类装载器载入的类只能主动访问相同类装载器载入的类以及该类装载器的父装载器载入的类，也就是装载一个类的时候，类装载请求逐级单向向上提交，最终第一个收到请求的是根装载器，如果根装载器不 能装载才向下沿着上来的方向回溯继续传递类装载请求，越往上类装载器的可信任级别越高，实际上，根装载器就是你的java运行环境的一部分，这种方式不能 保证事情是绝对安全的，但是最起码可以将不安全因素的比例降至最低。
我们来看一下为什么这种方式可以实现。我们想想便知，真正要执行的java类都是程序员自己写的java类，不是java环境的核心类，但是虽然是自己写 的类，它还是继承了核心类（考虑Object类），而且所有的内部逻辑不是直接继承或间接继承了核心类就是直接包含或间接包含了核心类，OO的思想无外乎 就这两种，包含和继承。核心类是最终干活的类，而我们自己写的类仅仅是一些业务逻辑的封装，最终干活的类就是一系列的工具类，我们必须确保这些核心类不被替换，确保它们的安全（想想看，它们一旦被替换，所有用到它们的都将遭殃，核心类的重用度是最高的），java规范又规定，一个类必须在它的父类初始化后才能被初始化，这样的话，核心类总是先被根装载器载入内存，java类装载器在载入一个类时，如果它已经被载入了，那么将放弃这次载入行为，这样的话，很少有机会可以替换核心类，于是实现了安全。
java类装载器的这种安全性提炼出来就是：永远保持流的单向性，然后在端点进行单点验证。有些软件就遵循这个原则，比如一个需要登录验证的软件，竟然将登录验证逻辑放到一个库当中，那么只要别人替换了你的库，安全性就不再拥有了，如果将验证逻辑防到一个端点，而这个端点在你的可控范围，那么这样既不会失 去任意插拔的灵活性，安全性也将大大加强