五个经典的破坏双亲委派场景,Java被啪啪打脸

davisl
发布于 2022-9-29 11:16
浏览
0收藏

在《深入理解Java类加载机制,再也不用死记硬背了》这篇文章中提到,从JVM的角度看,加载的读取二进制流和初始化阶段,是开放了主导权给用户的。而剩下的所有部分都是JVM内部完成的。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

那为什么要这样做呢?这是符合面向对象中的开闭原则和封装思想的设计。JVM将类加载内部复杂的实现封装了起来,拒绝开发者修改。只提供了一个拓展接口,用于二进制流的读取。

 

流程上搞懂了,那JVM是怎样使用代码来实现这些步骤的呢?这就要聊到Java的类加载器了。

 

类加载器

 

类加载器的分类是Java规范,属于抽象的概念。规范将类加载器分成启动类和非启动类两大类。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

HotSpot对类加载器实现有以下分类(以下描述中省略了HotSpot定语):

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

启动类加载器是C/C++语言实现的,无法作为对象被程序引用。主要用来加载Java的核心类库。类库主要由Java启动参数指定,默认是${JAVA_HOME}/lib。HotSpot还会对类名进行白名单校验来提高安全性。

 

非启动类加载器都是使用Java来实现,继承自java.lang.ClassLoader,可以作为类对象被程序引用。它也分成3种,简单说一下区别。

 

扩展类加载器ExtensionClassLoader加载的是${JAVA_HOME}/lib/ext下或者启动时指定的类库。它目标是加载Java类库的扩展,是标准类库的补充。

 

应用类加载器ApplicationClassLoader加载的是环境变量classpath指定的类库。咱们平时使用maven的话,就是使用maven加载的类库和自己编写的代码。

 

用户类加载器就是用户自己定义的类加载器,也叫自定义类加载器。只要继承于应用类加载器即可。定义不同的类加载器会使用不同的命名空间。因为不同的命名空间是个隐含的限定名区分,是不同的对象。

 

双亲委派模型

 

双亲委派的目标是在默认情况下,一个限定名的类只会被一个类加载器加载并解析使用,这样在程序中,它就是唯一的,不会产生歧义。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

在被动的情况下,当一个类加载器收到类加载请求,它不会首先自己去加载。而是传递给父加载器。这样,所有的类首先都会先由最上层的启动类加载器进行加载,只有父加载器无法完成类加载才会由子加载器完成。

 

白话来说:双亲委派模型中,如果类A调用了类B,那类B可能是类A在使用过程中被动加载进来的。那如果类A是用应用程序类加载器加载的,那么类B只能由应用程序类加载器或其父类或者上一层父类来加载。不能由自定义类加载器来来加载。

 

双亲委派模型并不是一个拥有强约束力的模型。它存在设计缺陷,在一些情况下可以被主动破坏。

 

五种经典的破坏双亲委派场景

 

第一次破坏

 

在《深入理解Java虚拟机》这本书中,记录了怎样破坏双亲委派:因为双亲委派机制原则在java.lang.ClassLoader的loadClass方法中。只要重写loadClass方法就可以破坏。书中还写了一个重写loadClass方法来进行破坏的小样例,这个小样例被称为双亲委派的第一次破坏。

 

Tomcat场景

 

这个破坏的样例有没有什么实际价值意义呢?还真有,后来Tomcat就使用这种方式对双亲委派进行破坏,来达到使用一个web容器部署两个或者多个应用程序,不同的应用程序,可能会依赖同一个第三方类库的不同版本,还要能保证每一个应用程序的类库都是独立、相互隔离的效果。

 

tomcat自定义了类加载器,重写loadClass方法使其优先加载自己目录下的class文件,来达到class私有的效果。不过咱们现在流行使用的都是嵌入式的web容器了,将来更多的场景还是一个应用程序使用一个单独的web容器。所以这种破坏双亲委派的价值在降低。

 

基于SPI的三种经典破坏场景

 

还有一种java特性叫做SPI,在《JAVA SPI(Service Provider Interface)原理、设计及源码解析》里,我不仅说了什么是SPI,还提到了三种经典场景都在使用,它们分别是jdbc、Dubbo、Eleasticsearch。没错,这三种经典场景通过SPI都使得双亲委派遭到破坏。下面以jdbc为例做说明。

 

jdbc驱动Driver在十几年前,我还手写过用DriverManager来加载的代码。

Class.forName("com.mysql.cj.jdbc.Driver");

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "1234");

 

DriverManager初始化时是这样的,注意红框内容。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

红框内容翻译一下就是说:由启动类加载器加载的DriverManager初始化时要去加载Driver驱动。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

jdbc驱动由Serverloader.load加载。

五个经典的破坏双亲委派场景,Java被啪啪打脸-鸿蒙开发者社区

而Serverloader.load里优先使用当前线程的类加载器而不是自身使用的类加载器来加载Driver。当前线程是使用方要么是应用类加载器要么是自定义类加载器,总归类A调用类B,B没有使用父类而使用了子类加载器,所以破坏了双亲委派。

 

双亲委派被破坏的补救措施

 

那朋友就问了,java.lang.ClassLoader把loadClass方法定义为final是不是就解决了双亲委派被破坏的问题呢?java.lang.ClassLoader的loadClass方法在Java很早的版本就有了,而双亲委派模型是在JDK1.2中引入的。Java是向下兼容的,所以不是不想改而是改不了了。一个补救措施是推荐使用findClass方法而不是直接重写loadClass。当然了,如果有人登录了服务器,把JDK文件给替换了,也就失效了。这个不在讨论范围。

 

已于2022-9-29 11:16:25修改
收藏
回复
举报
回复
    相关推荐