嗯,它 确实 适用于setAccessible。看到:
class A { private String method1() { return "Hello World!"; }}和
import java.lang.reflect.Method;class B { public static void main(String[] args) throws Exception { System.setSecurityManager(new SecurityManager()); Class clazz = A.class; Method m = clazz.getDeclaredMethod("method1"); m.setAccessible(true); }}结果是
Exception in thread "main" java.security.AccessControlException: access denied ("java.lang.reflect.ReflectPermission" "suppressAccessChecks") at java.security.AccessControlContext.checkPermission(Unknown Source) at java.security.AccessController.checkPermission(Unknown Source) at java.lang.SecurityManager.checkPermission(Unknown Source) at java.lang.reflect.AccessibleObject.setAccessible(Unknown Source) at B.main(B.java:8)它可能对你没有工作的原因之一是,根据评论这篇文章并没有在Java 1.5中使用的工作,但在6,此后的作品。
编辑:要拒绝特定的jar,需要使用一个策略文件,例如:
// specific filegrant prebase "file:/test/path/tools.jar" { // no permissions for this one};// default to giving allgrant { permission java.security.AllPermission;};有两种指定策略文件的方法,或者将其作为默认文件的补充,或者仅提供指定的文件(源):
如果您使用
java -Djava.security.manager -Djava.security.policy==someURL SomeApp(请注意,双等于)将仅使用指定的策略文件;安全属性文件中指示的所有内容都将被忽略。
…或实现一个看起来并不难的自定义安全管理器。我自己还没做过。
