JDK8的@CallerSensitive

在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass()，这是个native方法，但这个方法上有个注解：@CallerSensitive，比较好奇，研究一下

权限

• Reflection.getCallerClass()此方法的调用者必须有权限，需要什么样的权限呢？
  
  • 由bootstrap class loader加载的类可以调用
  • 由extension class loader加载的类可以调用
• 都知道用户路径的类加载都是由 application class loader进行加载的，换句话说就是用户自定义的一些类中无法调用此方法

作用

Reflection.getCallerClass()方法调用所在的方法必须用@CallerSensitive进行注解，通过此方法获取class时会跳过链路上所有的有@CallerSensitive注解的方法的类，直到遇到第一个未使用该注解的类，避免了用Reflection.getCallerClass(int n) 这个过时方法来自己做判断。

如何验证

• 写一个jdk动态代理测试代码，然后断点在java.lang.Class#forName(java.lang.String, boolean, java.lang.ClassLoader) (这个方法有@CallerSensitive注解)，然后手动执行Reflection.getCallerClass() 和 Reflection.getCallerClass(1) 方法，发现两者的结果是不一样的，而Reflection.getCallerClass() 结果为java.lang.reflect.Proxy$ProxyClassFactory，而Reflection.getCallerClass(1) 的结果是 java.lang.Class ，说明前者跳过了java.lang.Class，找到了java.lang.reflect.Proxy$ProxyClassFactory

遗憾

• 查阅很多资料，最终还是没能搞明白这个东西的应用场景或者说这个功能必要性。
• 有篇博文是说堵漏洞用的，看了好几遍没看明白，有兴趣的可以看看