Singleton单例模式-如何防止JAVA反射对单例类的攻击？

来源：互联网发布：fps软件下载编辑：程序博客网时间：2024/05/16 16:09

在我的上篇随笔中，我们知道了创建单例类有以下几种方式：

(1).饿汉式

(2).懒汉式(、加同步锁的懒汉式、加双重校验锁的懒汉式、防止指令重排优化的懒汉式)

(3).登记式单例模式

(4).静态内部类单例模式

(5).枚举类型的单例模式

在上面的5种实现方式中，除了枚举类型外，其他的实现方式是可以被JAVA的反射机制给攻击的，即使他的构造方法是私有化的，

我们也可以做一下处理，从外部得到它的实例。

举例1：不经过处理的单例类被JAVA反射机制攻击

public class MyManger {

private static MyManger instance=new MyManger();

private MyManger() {

}

public static MyManger getInstance() {

return instance;

}

测试代码，发现返回结果"myManger!=myManger1"

public class MeTest {

public static void main(String[] args) throws Exception {

MyManger myManger = MyManger.getInstance();

Constructor<?> constructor = MyManger.class.getDeclaredConstructor(null);

constructor.setAccessible(true);

MyManger myManger1 = (MyManger) constructor.newInstance();

if (myManger == myManger1) {

System.out.printf("myManger==myManger1");

}else{

System.out.printf("myManger!=myManger1");

}

举例2.经过处理的单例类，JAVA反射机制攻击测试

public class MyManger7 {

//这里两行的顺序非常关键，当前行(public static boolean flag = false;)一定要在(private static MyManger7 instance = new MyManger7();)的前面

//因为下面这一行new MyManger7()其中的构造器会修改flag的值，如果顺序被调整，new MyManger7()中修改过的值后来

//又会被static boolean flag = false;覆盖，从而没有目的

public static boolean flag = false;

private static MyManger7 instance = new MyManger7();

private MyManger7() {

synchronized (MyManger7.class){

if (flag == false) {

flag = true;

} else {

throw new RuntimeException("正在遭受反射攻击");

}

public static MyManger7 getInstance() {

return instance;

}

测试代码和举例1一致，发现返回结果向外抛异常

Exception in thread "main" java.lang.reflect.InvocationTargetException

at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)

at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:39)

at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:27)

at java.lang.reflect.Constructor.newInstance(Constructor.java:513)

at com.jd.o2o.lzc.MeTest7.main(MeTest7.java:11)

at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)

at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

at java.lang.reflect.Method.invoke(Method.java:597)

at com.intellij.rt.execution.application.AppMain.main(AppMain.java:134)

Caused by: java.lang.RuntimeException: 正在遭受反射攻击

at com.jd.o2o.lzc.MyManger7.<init>(MyManger7.java:15)

... 10 more

举例3：枚举类型的单例模式被JAVA反射机制攻击测试

public enum MyManger6 {

INSTANCE;

private MyResource instance;

MyManger6() {

instance = new MyResource();

}

public MyResource getInstance() {

return instance;

}

class MyResource {

public void doMethod() {

System.out.println("枚举类型的单例类资源");

}

举例3：测试代码

public class MeTest6 {

public static void main(String[] args) throws Exception {

Constructor<?> constructor = MyManger6.class.getDeclaredConstructor(null);

constructor.setAccessible(true);

MyManger6 myManger1 = (MyManger6) constructor.newInstance();

System.out.println("myManger1="+myManger1);

}

举例3：测试结果,会发现枚举类是不允许使用反射来构造对象的

Exception in thread "main" java.lang.NoSuchMethodException: com.jd.o2o.lzc.MyManger6.<init>()

at java.lang.Class.getConstructor0(Class.java:2706)

at java.lang.Class.getDeclaredConstructor(Class.java:1985)

at com.jd.o2o.lzc.MeTest6.main(MeTest6.java:8)

at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)

at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

at java.lang.reflect.Method.invoke(Method.java:597)

at com.intellij.rt.execution.application.AppMain.main(AppMain.java:134)

0 0