课程：XML 的流式 API

原文：docs.oracle.com/javase/tutorial/jaxp/stax/index.html

本课程专注于 XML 的流式 API（StAX），这是一种基于 Java 技术的流式、事件驱动、拉取解析的 API，用于读取和写入 XML 文档。StAX 使您能够创建快速、相对易于编程且具有轻量级内存占用的双向 XML 解析器。

为什么选择 StAX？

原文：docs.oracle.com/javase/tutorial/jaxp/stax/why.html

StAX 项目由 BEA 主导，得到了 Sun Microsystems 的支持，JSR 173 规范于 2004 年 3 月通过了 Java 社区流程的最终批准投票。StAX API 的主要目标是通过公开一个简单的基于迭代器的 API，将“解析控制权交给程序员。这允许程序员请求下一个事件（拉取事件），并允许以过程化方式存储状态。” StAX 的创建是为了解决两种最常见解析 API，SAX 和 DOM，的限制。

流式处理与 DOM

一般来说，处理 XML 信息集有两种编程模型：流式处理和文档对象模型（DOM）。

DOM 模型涉及创建代表整个文档树和 XML 文档的完整信息集状态的内存对象。一旦在内存中，DOM 树可以自由导航和任意解析，因此为开发人员提供了最大的灵活性。然而，这种灵活性的代价是潜在的大内存占用和显著的处理器需求，因为整个文档的表示必须作为对象在内存中保持，以便在文档处理期间使用。在处理小型文档时，这可能不是问题，但随着文档大小的增加，内存和处理器需求可能会迅速升高。

流式处理是指一种编程模型，在应用程序运行时串行传输和解析 XML 信息集，通常是实时的，并且通常来自动态来源，其内容事先并不完全知晓。此外，基于流的解析器可以立即开始生成输出，并且信息集元素在使用后可以立即丢弃和进行垃圾回收。虽然提供了较小的内存占用、降低的处理器需求和在某些情况下更高的性能，但流处理的主要折衷是您只能在文档中的一个位置看到信息集状态。您基本上受限于文档的“纸板筒”视图，这意味着您需要在阅读 XML 文档之前知道要进行哪些处理。

在处理 XML 时，流式处理模型特别适用于应用程序具有严格的内存限制，比如在运行 Java 平台微版（Java ME 平台）的手机上，或者当应用程序需要同时处理多个请求时，比如在应用服务器上。实际上，可以说大多数 XML 业务逻辑都可以从流式处理中受益，并且不需要在内存中维护整个 DOM 树。

拉取解析与推送解析

流拉取解析是一种编程模型，其中客户端应用程序在需要与 XML 信息集交互时调用 XML 解析库的方法，即客户端只有在明确请求时才会获取（拉取）XML 数据。

流推送解析是一种编程模型，其中 XML 解析器在遇到 XML 信息集中的元素时向客户端发送（推送）XML 数据，即使客户端此时还没有准备好使用它。

在处理 XML 流时，拉取解析相比于推送解析提供了几个优势：

• 在拉取解析中，客户端控制应用程序线程，并且可以在需要时调用解析器的方法。相比之下，在推送处理中，解析器控制应用程序线程，客户端只能接受解析器的调用。

• 拉取解析库可以比推送库更小，与这些库交互的客户端代码也更简单，即使对于更复杂的文档。

• 拉取客户端可以使用单个线程同时读取多个文档。

• StAX 拉取解析器可以过滤 XML 文档，使客户端不需要的元素被忽略，并且可以支持非 XML 数据的 XML 视图。

StAX 使用案例

StAX 规范定义了 API 的许多用例：

• 数据绑定

  • 反编组 XML 文档

  • 将 XML 文档编组

  • 并行文档处理

  • 无线通信

• 简单对象访问协议（SOAP）消息处理

  • 解析简单可预测的结构

  • 解析具有前向引用的图形表示

  • 解析 Web 服务描述语言（WSDL）

• 虚拟数据源

  • 查看存储在数据库中的 XML 数据

  • 查看由 XML 数据绑定创建的 Java 对象中的数据

  • 将 DOM 树作为事件流导航

• 解析特定的 XML 词汇

• 管道化 XML 处理

对所有这些用例的完整讨论超出了本课程的范围。请参考 StAX 规范以获取更多信息。

将 StAX 与其他 JAXP API 进行比较

作为 JAXP 家族中的一个 API，StAX 可以与 SAX、TrAX 和 JDOM 等其他 API 进行比较。在后两者中，StAX 不像 TrAX 或 JDOM 那样强大或灵活，但也不需要太多内存或处理器负载才能发挥作用，并且在许多情况下，StAX 可以胜过基于 DOM 的 API。上面概述的相同论点，权衡 DOM 模型与流模型的成本/效益，在这里同样适用。

有鉴于此，最接近的比较可以在 StAX 和 SAX 之间进行，正是在这里 StAX 提供了许多情况下有益的功能；其中一些包括：

• 使用 StAX 的客户端通常比使用 SAX 的客户端更容易编码。虽然可以说 SAX 解析器稍微更容易编写，但 StAX 解析器的代码可能更小，客户端与解析器交互所需的代码更简单。

• StAX 是一个双向 API，意味着它既可以读取又可以写入 XML 文档。SAX 只能读取，所以如果你想要写入 XML 文档，就需要另一个 API。

• SAX 是一个推送 API，而 StAX 是一个拉取 API。上面概述的推送和拉取 API 之间的权衡在这里也适用。

以下表格总结了 StAX、SAX、DOM 和 TrAX 的比较特性。（表格改编自 Jeff Ryan 的文章Does StAX Belong in Your XML Toolbox?）。

XML 解析器 API 特性摘要

StAX API

原文：docs.oracle.com/javase/tutorial/jaxp/stax/api.html

StAX API 公开了用于 XML 文档的迭代式、基于事件的处理的方法。XML 文档被视为一系列经过过滤的事件，并且信息集状态可以以过程化方式存储。此外，与 SAX 不同，StAX API 是双向的，可以实现对 XML 文档的读取和写入。

StAX API 实际上是两个不同的 API 集：一个光标 API 和一个迭代器 API。这两个 API 集将在本课程的后面更详细地解释，但它们的主要特点如下所述。

光标 API

如其名称所示，StAX 光标 API 表示一个光标，您可以使用它从头到尾遍历 XML 文档。这个光标一次只能指向一件事，并且总是向前移动，从不后退，通常一次移动一个信息集元素。

两个主要的光标接口是XMLStreamReader和XMLStreamWriter。XMLStreamReader包括了从 XML 信息模型中检索所有可能信息的访问方法，包括文档编码、元素名称、属性、命名空间、文本节点、起始标记、注释、处理指令、文档边界等等；例如：

public interface XMLStreamReader {
    public int next() throws XMLStreamException;
    public boolean hasNext() throws XMLStreamException;

    public String getText();
    public String getLocalName();
    public String getNamespaceURI();
    // ... other methods not shown
}

您可以在XMLStreamReader上调用诸如getText和getName之类的方法，以获取当前光标位置的数据。XMLStreamWriter提供了与StartElement和EndElement事件类型对应的方法；例如：

public interface XMLStreamWriter {
    public void writeStartElement(String localName) throws XMLStreamException;
    public void writeEndElement() throws XMLStreamException;
    public void writeCharacters(String text) throws XMLStreamException;
    // ... other methods not shown
}

光标 API 与 SAX 在许多方面相似。例如，可以直接访问字符串和字符信息的方法可用，并且可以使用整数索引访问属性和命名空间信息。与 SAX 一样，光标 API 方法将 XML 信息作为字符串返回，这减少了对象分配的需求。

迭代器 API

StAX 迭代器 API 将 XML 文档流表示为一组离散的事件对象。这些事件由应用程序拉取，并由解析器按照它们在源 XML 文档中读取的顺序提供。

基本的迭代器接口称为XMLEvent，并且为事件迭代器 API 表中列出的每种事件类型都有子接口。用于读取迭代器事件的主要解析器接口是XMLEventReader，用于写入迭代器事件的主要接口是XMLEventWriter。XMLEventReader接口包含五种方法，其中最重要的是nextEvent，它返回 XML 流中的下一个事件。XMLEventReader实现了java.util.Iterator，这意味着从XMLEventReader返回的内容可以被缓存或传递给可以与标准 Java 迭代器一起工作的程序；例如：

public interface XMLEventReader extends Iterator {
    public XMLEvent nextEvent() throws XMLStreamException;
    public boolean hasNext();
    public XMLEvent peek() throws XMLStreamException;
    // ...
}

类似地，在迭代器 API 的输出端，你有：

public interface XMLEventWriter {
    public void flush() throws XMLStreamException;
    public void close() throws XMLStreamException;
    public void add(XMLEvent e) throws XMLStreamException;
    public void add(Attribute attribute) throws XMLStreamException;
    // ...
}

迭代器事件类型

XMLEvent在事件迭代器 API 中定义的类型

请注意，只有在处理的文档包含 DTD 时，才会创建 DTD、EntityDeclaration、EntityReference、NotationDeclaration 和 ProcessingInstruction 事件。

事件映射示例

作为事件迭代器 API 如何映射 XML 流的示例，请考虑以下 XML 文档：

<?xml version="1.0"?>
<BookCatalogue >
    <Book>
        <Title>Yogasana Vijnana: the Science of Yoga</Title>
        <ISBN>81-40-34319-4</ISBN>
        <Cost currency="INR">11.50</Cost>
    </Book>
</BookCatalogue>

此文档将被解析为十八个主要和次要事件，如下表所示。请注意，通常从主要事件而不是直接访问，可以访问用大括号（{}）显示的次要事件。

迭代器 API 事件映射示例

在这个例子中有几个重要的事项需要注意：

• 事件按照文档中遇到相应的 XML 元素的顺序创建，包括元素的嵌套、打开和关闭元素、属性顺序、文档开始和文档结束等。

• 与正确的 XML 语法一样，所有容器元素都有相应的开始和结束事件；例如，每个 StartElement 都有一个对应的 EndElement，即使是空元素也是如此。

• Attribute 事件被视为次要事件，并且可以从其对应的 StartElement 事件中访问。

• 与 Attribute 事件类似，Namespace 事件被视为次要事件，但在事件流中出现两次，并且可以从它们对应的 StartElement 和 EndElement 中分别访问两次。

• 所有元素都指定了 Character 事件，即使这些元素没有字符数据。同样，Character 事件可以跨事件分割。

• StAX 解析器维护一个命名空间堆栈，其中保存了当前元素及其祖先元素定义的所有 XML 命名空间信息。通过 javax.xml.namespace.NamespaceContext 接口暴露的命名空间堆栈可以通过命名空间前缀或 URI 访问。

在游标和迭代器 API 之间进行选择

此时合理地问一下，“我应该选择哪个 API？我应该创建 XMLStreamReader 还是 XMLEventReader 的实例？为什么会有两种类型的 API？”

开发目标

StAX 规范的作者针对三种类型的开发者：

• 图书馆和基础设施开发者：创建应用服务器、JAXM、JAXB、JAX-RPC 等实现；需要高效、低级别的 API，并且具有最小的可扩展性要求。

• Java ME 开发者：需要小型、简单的拉取解析库，并且具有最小的可扩展性需求。

• Java 平台企业版（Java EE）和 Java 平台标准版（Java SE）开发人员：需要干净、高效的拉取解析库，同时需要灵活性来读取和写入 XML 流，创建新的事件类型，并扩展 XML 文档元素和属性。

鉴于这些广泛的开发类别，StAX 的作者认为定义两个小型、高效的 API 比过载一个更大、必然更复杂的 API 更有用。

比较游标和迭代器 API

在选择游标和迭代器 API 之间之前，你应该注意一些你可以使用迭代器 API 而不能使用游标 API 的事项：

• 从XMLEvent子类创建的对象是不可变的，可以在数组、列表和映射中使用，并且可以在解析器继续处理后传递到你的应用程序中。

• 你可以创建XMLEvent的子类型，这些子类型可以是全新的信息项，也可以是现有项目的扩展，但具有额外的方法。

• 你可以以比游标 API 更简单的方式向 XML 事件流中添加和删除事件。

同样，在做出选择时，请记住一些一般性建议：

• 如果你正在为特别受内存限制的环境编程，比如 Java ME，你可以使用游标 API 创建更小、更高效的代码。

• 如果性能是你的最高优先级——例如，在创建低级库或基础设施时——游标 API 更有效率。

• 如果你想创建 XML 处理管道，请使用迭代器 API。

• 如果你想修改事件流，请使用迭代器 API。

• 如果你希望你的应用程序能够处理事件流的可插拔处理，请使用迭代器 API。

• 一般来说，如果你没有明确偏好，建议使用迭代器 API，因为它更灵活、可扩展，从而“未雨绸缪”你的应用程序。

使用 StAX

原文：docs.oracle.com/javase/tutorial/jaxp/stax/using.html

一般来说，StAX 程序员通过使用 XMLInputFactory、XMLOutputFactory 和 XMLEventFactory 类来创建 XML 流读取器、写入器和事件。通过在工厂上设置属性来进行配置，可以通过在工厂上使用 setProperty 方法将特定于实现的设置传递给底层实现。类似地，可以使用 getProperty 工厂方法查询特定于实现的设置。

下面描述了 XMLInputFactory、XMLOutputFactory 和 XMLEventFactory 类，然后讨论了资源分配、命名空间和属性管理、错误处理，最后使用游标和迭代器 API 读取和写入流。

StAX 工厂类

StAX 工厂类。XMLInputFactory、XMLOutputFactory 和 XMLEventFactory，让您定义和配置 XML 流读取器、流写入器和事件类的实现实例。

XMLInputFactory

XMLInputFactory 类允许您配置由工厂创建的 XML 流读取器处理器的实现实例。通过在类上调用 newInstance 方法来创建抽象类 XMLInputFactory 的新实例。然后使用静态方法 XMLInputFactory.newInstance 来创建新的工厂实例。

派生自 JAXP，XMLInputFactory.newInstance 方法通过以下查找过程确定要加载的特定 XMLInputFactory 实现类：

1. 使用 javax.xml.stream.XMLInputFactory 系统属性。

2. 使用 Java SE 平台的 Java Runtime Environment (JRE) 目录中的 lib/xml.stream.properties 文件。

3. 如果可用，使用 Services API 通过查找 JRE 中可用的 JAR 文件中的 META-INF/services/javax.xml.stream.XMLInputFactory 文件确定类名。

4. 使用平台默认的 XMLInputFactory 实例。

在获取适当的 XMLInputFactory 引用之后，应用程序可以使用工厂来配置和创建流实例。以下表格列出了 XMLInputFactory 支持的属性。详细列表请参阅 StAX 规范。

javax.xml.stream.XMLInputFactory 属性

XMLOutputFactory

通过在类上调用newInstance方法来创建抽象类XMLOutputFactory的新实例。然后使用静态方法XMLOutputFactory.newInstance来创建一个新的工厂实例。用于获取实例的算法与XMLInputFactory相同，但引用javax.xml.stream.XMLOutputFactory系统属性。

XMLOutputFactory 只支持一个属性，即javax.xml.stream.isRepairingNamespaces。此属性是必需的，其目的是创建默认前缀并将其与命名空间 URI 关联起来。有关更多信息，请参阅 StAX 规范。

XMLEventFactory

通过在类上调用newInstance方法来创建抽象类XMLEventFactory的新实例。然后使用静态方法XMLEventFactory.newInstance来创建一个新的工厂实例。此工厂引用javax.xml.stream.XMLEventFactory属性来实例化工厂。用于获取实例的算法与XMLInputFactory和XMLOutputFactory相同，但引用javax.xml.stream.XMLEventFactory系统属性。

XMLEventFactory 没有默认属性。

资源、命名空间和错误

StAX 规范处理资源解析、属性和命名空间，以及错误和异常，如下所述。

资源解析

XMLResolver接口提供了在 XML 处理期间解析资源的方法。应用程序在XMLInputFactory上设置接口，然后该工厂实例创建的所有处理器都设置该接口。

属性和命名空间

属性由 StAX 处理器使用游标接口中的查找方法和字符串以及迭代器接口中的Attribute和Namespace事件报告。请注意，命名空间被视为属性，尽管在游标和迭代器 API 中，命名空间与属性分开报告。还要注意，命名空间处理对于 StAX 处理器是可选的。有关命名空间绑定和可选命名空间处理的完整信息，请参阅 StAX 规范。

错误报告和异常处理

所有致命错误都通过javax.xml.stream.XMLStreamException接口报告。所有非致命错误和警告都使用javax.xml.stream.XMLReporter接口报告。

读取 XML 流

正如在本课程前面所描述的，使用 StAX 处理器读取 XML 流的方式——更重要的是，您得到的内容——取决于您是使用 StAX 游标 API 还是事件迭代器 API，这两个部分描述了如何使用这两个 API 读取 XML 流。

使用 XMLStreamReader

StAX 游标 API 中的XMLStreamReader接口只允许您以向前方向读取 XML 流或文档，每次只能读取信息集中的一个项目。以下方法可用于从流中提取数据或跳过不需要的事件：

• 获取属性的值

• 读取 XML 内容

• 确定一个元素是否有内容或为空

• 获取对属性集合的索引访问

• 获取对命名空间集合的索引访问

• 获取当前事件的名称（如果适用）

• 获取当前事件的内容（如果适用）

XMLStreamReader的实例在任何时候都有一个当前事件，其方法在其上操作。当您在流上创建一个XMLStreamReader实例时，初始当前事件是START_DOCUMENT状态。然后可以使用XMLStreamReader.next方法来跳到流中的下一个事件。

读取属性、属性和命名空间

XMLStreamReader.next方法加载流中下一个事件的属性。然后，您可以通过调用XMLStreamReader.getLocalName和XMLStreamReader.getText方法来访问这些属性。

当XMLStreamReader游标位于StartElement事件上时，它读取事件的名称和任何属性，包括命名空间。可以使用索引值访问事件的所有属性，并且还可以通过命名空间 URI 和本地名称查找。但请注意，只有当前StartEvent上声明的命名空间可用；之前声明的命名空间不会被保留，重新声明的命名空间也不会被移除。

XMLStreamReader 方法

XMLStreamReader提供以下方法来检索有关命名空间和属性的信息：

int getAttributeCount();
String getAttributeNamespace(int index);
String getAttributeLocalName(int index);
String getAttributePrefix(int index);
String getAttributeType(int index);
String getAttributeValue(int index);
String getAttributeValue(String namespaceUri, String localName);
boolean isAttributeSpecified(int index);

也可以使用三种额外的方法访问命名空间：

int getNamespaceCount();
String getNamespacePrefix(int index);
String getNamespaceURI(int index);

实例化一个 XMLStreamReader

这个示例取自 StAX 规范，展示了如何实例化一个输入工厂，创建一个读取器，并遍历 XML 流的元素：

XMLInputFactory f = XMLInputFactory.newInstance();
XMLStreamReader r = f.createXMLStreamReader( ... );
while(r.hasNext()) {
    r.next();
}

使用 XMLEventReader

StAX 事件迭代器 API 中的XMLEventReader API 提供了将 XML 流中的事件映射到可以自由重用的分配的事件对象的方法，并且 API 本身可以扩展以处理自定义事件。

XMLEventReader提供了四种方法来迭代解析 XML 流：

• next：返回流中的下一个事件

• nextEvent：返回下一个类型化的 XMLEvent

• hasNext：如果流中有更多事件要处理，则返回 true

• peek：返回事件但不迭代到下一个事件

例如，以下代码片段说明了XMLEventReader方法声明：

package javax.xml.stream;
import java.util.Iterator;

public interface XMLEventReader extends Iterator {
    public Object next();
    public XMLEvent nextEvent() throws XMLStreamException;
    public boolean hasNext();
    public XMLEvent peek() throws XMLStreamException;
    // ...
}

要读取流上的所有事件然后打印它们，您可以使用以下方法：

while(stream.hasNext()) {
    XMLEvent event = stream.nextEvent();
    System.out.print(event);
}

读取属性

您可以从其关联的javax.xml.stream.StartElement中访问属性，如下所示：

public interface StartElement extends XMLEvent {
    public Attribute getAttributeByName(QName name);
    public Iterator getAttributes();
}

您可以使用StartElement接口上的getAttributes方法来使用在该StartElement上声明的所有属性的Iterator。

读取命名空间

与读取属性类似，命名空间是通过调用StartElement接口上的getNamespaces方法创建的Iterator来读取的。仅返回当前StartElement的命名空间，并且应用程序可以通过使用StartElement.getNamespaceContext来获取当前命名空间上下文。

写入 XML 流

StAX 是一个双向 API，游标和事件迭代器 API 都有自己的一套接口用于写入 XML 流。与读取流的接口一样，写入器 API 对于游标和事件迭代器之间存在显著差异。以下部分描述了如何使用这些 API 之一来写入 XML 流。

使用 XMLStreamWriter

StAX 游标 API 中的XMLStreamWriter接口允许应用程序写回到 XML 流或创建全新的流。XMLStreamWriter 具有让您执行以下操作的方法：

• 写入格式良好的 XML

• 刷新或关闭输出

• 写入限定名称

请注意，XMLStreamWriter实现不需要对输入执行格式良好性或有效性检查。虽然一些实现可能执行严格的错误检查，但其他可能不会。您实现的规则适用于XMLOutputFactory类中定义的属性。

使用writeCharacters方法转义字符，如&、<、>和"。绑定前缀可以通过传递前缀的实际值，使用setPrefix方法，或设置默认命名空间声明的属性来处理。

以下示例取自 StAX 规范，展示了如何实例化输出工厂，创建写入器并写入 XML 输出：

XMLOutputFactory output = XMLOutputFactory.newInstance();
XMLStreamWriter writer = output.createXMLStreamWriter( ... );

writer.writeStartDocument();
writer.setPrefix("c","http://c");
writer.setDefaultNamespace("http://c");

writer.writeStartElement("http://c","a");
writer.writeAttribute("b","blah");
writer.writeNamespace("c","http://c");
writer.writeDefaultNamespace("http://c");

writer.setPrefix("d","http://c");
writer.writeEmptyElement("http://c","d");
writer.writeAttribute("http://c", "chris","fry");
writer.writeNamespace("d","http://c");
writer.writeCharacters("Jean Arp");
writer.writeEndElement();

writer.flush();

此代码生成以下 XML（新行不是规范性的）：

<?xml version=’1.0’ encoding=’utf-8’?>
<a b="blah"  >
<d:d d:chris="fry" />Jean Arp</a>

使用 XMLEventWriter

StAX 事件迭代器 API 中的XMLEventWriter接口允许应用程序写回到 XML 流或创建全新的流。此 API 可以扩展，但主要 API 如下：

public interface XMLEventWriter {
    public void flush() throws XMLStreamException;
    public void close() throws XMLStreamException;
    public void add(XMLEvent e) throws XMLStreamException;
    // ... other methods not shown.
}

XMLEventWriter的实例是由XMLOutputFactory的实例创建的。流事件被迭代地添加，一旦添加到事件写入器实例后，事件就不能被修改。

属性、转义字符、绑定前缀

StAX 实现需要缓冲最后一个StartElement，直到在流中添加或遇到除Attribute或Namespace之外的事件。这意味着当您向流中添加Attribute或Namespace时，它会附加到当前的StartElement事件。

您可以使用Characters方法转义字符如&、<、>和"。

setPrefix(...) 方法可用于显式绑定输出时使用的前缀，而 getPrefix(...) 方法可用于获取当前前缀。请注意，默认情况下，XMLEventWriter 会将命名空间绑定添加到其内部命名空间映射中。前缀在绑定它们的事件对应的 EndElement 后会失效。

Oracle 的流式 XML 解析器实现

原文：docs.oracle.com/javase/tutorial/jaxp/stax/parser.html

应用服务器 9.1 包含 Sun 微系统的 JSR 173（StAX）实现，称为 Sun Java 流式 XML 解析器（简称为流式 XML 解析器）。流式 XML 解析器是一个高速、非验证的、符合 W3C XML 1.0 和 Namespace 1.0 标准的流式 XML 拉取解析器，构建在 Xerces2 代码库之上。

在 Sun 的流式 XML 解析器实现中，Xerces2 的底层，特别是 Scanner 和相关类，已经重新设计为拉取方式。除了底层的更改外，流式 XML 解析器还包括额外的与 StAX 相关的功能和许多性能增强改进。流式 XML 解析器实现在 appserv-ws.jar 和 javaee.jar 文件中，这两个文件位于 install_dir/lib/ 目录中。

JAXP 参考实现中包含了 StAX 代码示例，位于 INSTALL_DIR/jaxp-version/samples/stax 目录中，展示了 Sun 的流式 XML 解析器实现的工作原理。这些示例在 示例代码 中有描述。

在继续使用示例代码之前，有两个关于流式 XML 解析器的方面需要注意：

• 报告 CDATA 事件

• 流式 XML 解析器工厂实现

下面将讨论这些主题。

报告 CDATA 事件

流式 XML 解析器中实现的 javax.xml.stream.XMLStreamReader 不报告 CDATA 事件。如果您有一个需要接收此类事件的应用程序，请配置 XMLInputFactory 来设置以下特定于实现的 report-cdata-event 属性：

XMLInputFactory factory = XMLInptuFactory.newInstance();
factory.setProperty("report-cdata-event", Boolean.TRUE);

流式 XML 解析器工厂实现

大多数应用程序不需要知道工厂实现类名。对于大多数应用程序，只需将 javaee.jar 和 appserv-ws.jar 文件添加到类路径即可，因为这两个 jar 文件在 META-INF/services 目录下提供了各种流式 XML 解析器属性的工厂实现类名，例如 javax.xml.stream.XMLInputFactory、javax.xml.stream.XMLOutputFactory 和 javax.xml.stream.XMLEventFactory，这是应用程序请求工厂实例时查找操作的第三步。有关查找机制的更多信息，请参阅 XMLInputFactory.newInstance 方法的 Javadoc。

但是，在某些情况下，应用程序可能希望了解工厂实现类名并显式设置属性。这些情况可能包括类路径中存在多个 JSR 173 实现，应用程序希望选择其中一个，也许是性能更好的一个，包含了关键的错误修复，或类似情况。

如果一个应用程序设置了SystemProperty，那么这是查找操作的第一步，因此获取工厂实例相对于其他选项来说会更快；例如：

javax.xml.stream.XMLInputFactory -->
  com.sun.xml.stream.ZephyrParserFactory

javax.xml.stream.XMLOutputFactory -->
  com.sun.xml.stream.ZephyrWriterFactor

javax.xml.stream.XMLEventFactory -->
  com.sun.xml.stream.events.ZephyrEventFactory

示例代码

原文：docs.oracle.com/javase/tutorial/jaxp/stax/example.html

本节逐步介绍了 JAXP 参考实现包中包含的示例 StAX 代码。本节中使用的所有示例目录均位于INSTALL_DIR/jaxp-version/samples/stax目录中。

本节涵盖的主题如下：

• 示例代码组织

• 示例 XML 文档

• 游标示例

• 游标到事件示例

• 事件示例

• 过滤器示例

• 读写示例

• 写入示例

示例代码组织

INSTALL_DIR/jaxp-version/samples/stax目录包含六个 StAX 示例目录：

• 游标示例：cursor目录包含CursorParse.java，演示如何使用XMLStreamReader（游标）API 读取 XML 文件。

• 游标到事件示例：cursor2event目录包含CursorApproachEventObject.java，演示应用程序如何在使用游标 API 时将信息作为XMLEvent对象获取。

• 事件示例：event目录包含EventParse.java，演示如何使用XMLEventReader（事件迭代器）API 读取 XML 文件。

• 过滤器示例：filter目录包含MyStreamFilter.java，演示如何使用 StAX 流过滤器 API。在此示例中，过滤器仅接受StartElement和EndElement事件，并过滤掉其余事件。

• 读写示例：readnwrite目录包含EventProducerConsumer.java，演示了如何使用 StAX 生产者/消费者机制同时读取和写入 XML 流。

• 写入示例：writer目录包含CursorWriter.java，演示如何使用XMLStreamWriter以编程方式编写 XML 文件。

除了写入示例外，本节中的所有 StAX 示例均使用示例 XML 文档BookCatalog.xml。

示例 XML 文档

大多数 StAX 示例类使用的示例 XML 文档BookCatalog.xml是一个基于常见BookCatalogue命名空间的简单图书目录。BookCatalog.xml的内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<BookCatalogue >
<Book>
    <Title>Yogasana Vijnana: the Science of Yoga</Title>
    <author>Dhirendra Brahmachari</Author>
    <Date>1966</Date>
    <ISBN>81-40-34319-4</ISBN>
    <Publisher>Dhirendra Yoga Publications</Publisher>
    <Cost currency="INR">11.50</Cost>
</Book>
<Book>
    <Title>The First and Last Freedom</Title>
    <Author>J. Krishnamurti</Author>
    <Date>1954</Date>
    <ISBN>0-06-064831-7</ISBN>
    <Publisher>Harper &amp; Row</Publisher>
    <Cost currency="USD">2.95</Cost>
</Book>
</BookCatalogue>

游标示例

位于INSTALL_DIR/jaxp-version/samples/stax/cursor/目录中，CursorParse.java演示了如何使用 StAX 游标 API 读取 XML 文档。在游标示例中，应用程序通过调用next()指示解析器读取 XML 输入流中的下一个事件。

请注意，next()只返回与解析器所处位置对应的整数常量。应用程序需要调用相关函数以获取与底层事件相关的更多信息。

您可以将这种方法想象成虚拟游标在 XML 输入流中移动。当虚拟游标位于特定事件时，可以调用各种访问器方法。

逐个事件地进行步进

在这个示例中，客户端应用程序通过在解析器上调用next方法来拉取 XML 流中的下一个事件；例如：

try {
    for (int i = 0 ; i < count ; i++) {
        // pass the file name.. all relative entity
        // references will be resolved against this 
        // as base URI.
        XMLStreamReader xmlr = xmlif.createXMLStreamReader(filename,
                                   new FileInputStream(filename));

        // when XMLStreamReader is created, 
        // it is positioned at START_DOCUMENT event.
        int eventType = xmlr.getEventType();
        printEventType(eventType);
        printStartDocument(xmlr);

        // check if there are more events 
        // in the input stream
        while(xmlr.hasNext()) {
            eventType = xmlr.next();
            printEventType(eventType);

            // these functions print the information 
            // about the particular event by calling 
            // the relevant function
            printStartElement(xmlr);
            printEndElement(xmlr);
            printText(xmlr);
            printPIData(xmlr);
            printComment(xmlr);
        }
    }
}

请注意，next只是返回与当前游标位置下的事件对应的整数常量。应用程序调用相关函数以获取与底层事件相关的更多信息。当游标位于特定事件时，可以调用各种访问器方法。

返回字符串表示形式

因为next方法只返回与底层事件类型对应的整数，通常需要将这些整数映射到事件的字符串表示形式；例如：

public final static String getEventTypeString(int eventType) {
    switch (eventType) {
        case XMLEvent.START_ELEMENT:
            return "START_ELEMENT";

        case XMLEvent.END_ELEMENT:
            return "END_ELEMENT";

        case XMLEvent.PROCESSING_INSTRUCTION:
            return "PROCESSING_INSTRUCTION";

        case XMLEvent.CHARACTERS:
            return "CHARACTERS";

        case XMLEvent.COMMENT:
            return "COMMENT";

        case XMLEvent.START_DOCUMENT:
            return "START_DOCUMENT";

        case XMLEvent.END_DOCUMENT:
            return "END_DOCUMENT";

        case XMLEvent.ENTITY_REFERENCE:
            return "ENTITY_REFERENCE";

        case XMLEvent.ATTRIBUTE:
            return "ATTRIBUTE";

        case XMLEvent.DTD:
            return "DTD";

        case XMLEvent.CDATA:
            return "CDATA";

        case XMLEvent.SPACE:
            return "SPACE";
    }
    return "UNKNOWN_EVENT_TYPE , " + eventType;
}

运行游标示例

1. 要编译和运行游标示例，在终端窗口中，转到INSTALL_DIR/jaxp-version/samples/目录，并输入以下内容：

   javac stax/cursor/*.java
   
   

2. 在BookCatalogue.xml文件上运行CursorParse示例，使用以下命令。

   CursorParse将打印出BookCatalogue.xml文件的每个元素。

java stax/event/CursorParse stax/data/BookCatalogue.xml

游标到事件示例

位于tut-install/javaeetutorial5/examples/stax/cursor2event/目录中，CursorApproachEventObject.java演示了如何在使用游标 API 时获取XMLEvent对象返回的信息。

这里的想法是，游标 API 的XMLStreamReader返回与特定事件对应的整数常量，而事件迭代器 API 的XMLEventReader返回不可变且持久的事件对象。 XMLStreamReader更有效率，但XMLEventReader更易于使用，因为与特定事件相关的所有信息都封装在返回的XMLEvent对象中。然而，事件方法的缺点是为每个事件创建对象的额外开销，这既消耗时间又消耗内存。

有了这个想法，即使使用游标 API，也可以使用XMLEventAllocator来获取事件信息作为XMLEvent对象。

实例化一个 XMLEventAllocator

第一步是创建一个新的XMLInputFactory并实例化一个XMLEventAllocator：

XMLInputFactory xmlif = XMLInputFactory.newInstance();
System.out.println("FACTORY: " + xmlif);
xmlif.setEventAllocator(new XMLEventAllocatorImpl());
allocator = xmlif.getEventAllocator();
XMLStreamReader xmlr = xmlif.createXMLStreamReader(filename,
                           new FileInputStream(filename));

创建一个事件迭代器

下一步是创建一个事件迭代器：

int eventType = xmlr.getEventType();

while (xmlr.hasNext()) {
    eventType = xmlr.next();
    // Get all "Book" elements as XMLEvent object
    if (eventType == XMLStreamConstants.START_ELEMENT 
        && xmlr.getLocalName().equals("Book")) {
        // get immutable XMLEvent
        StartElement event = getXMLEvent(xmlr).asStartElement();
        System.out.println ("EVENT: " + event.toString());
    }
}

创建分配器方法

最后一步是创建XMLEventAllocator方法：

private static XMLEvent getXMLEvent(XMLStreamReader reader)
    throws XMLStreamException {
    return allocator.allocate(reader);
}

运行游标到事件示例

1. 要编译和运行游标到事件示例，在终端窗口中，转到INSTALL_DIR/jaxp-version/samples/目录，并输入以下内容：

   javac -classpath ../lib/jaxp-ri.jar stax/cursor2event/*.java
   
   

2. 在BookCatalogue.xml文件上运行CursorApproachEventObject示例，使用以下命令。

   java stax/cursor2event/CursorApproachEventObject stax/data/BookCatalogue.xml
   
   

   CursorApproachEventObject将打印出BookCatalogue.xml文件中定义的事件列表。

事件示例

位于INSTALL_DIR/jaxp-version/samples/stax/event/目录中，EventParse.java演示了如何使用 StAX 事件 API 读取 XML 文档。

创建一个输入工厂

第一步是创建一个新的XMLInputFactory实例：

XMLInputFactory factory = XMLInputFactory.newInstance();
System.out.println("FACTORY: " + factory);

创建一个事件读取器

下一步是创建一个 XMLEventReader 实例：

XMLEventReader r = factory.createXMLEventReader
                       (filename, new FileInputStream(filename));

创建一个事件迭代器

第三步是创建一个事件迭代器：

XMLEventReader r = factory.createXMLEventReader
                       (filename, new FileInputStream(filename));
while (r.hasNext()) {
    XMLEvent e = r.nextEvent();
    System.out.println(e.toString());
}

获取事件流

最后一步是获取底层事件流：

public final static String getEventTypeString(int eventType) {
    switch (eventType) {
        case XMLEvent.START_ELEMENT:
            return "START_ELEMENT";

        case XMLEvent.END_ELEMENT:
            return "END_ELEMENT";

        case XMLEvent.PROCESSING_INSTRUCTION:
            return "PROCESSING_INSTRUCTION";

        case XMLEvent.CHARACTERS:
            return "CHARACTERS";

        case XMLEvent.COMMENT:
            return "COMMENT";

        case XMLEvent.START_DOCUMENT:
            return "START_DOCUMENT";

        case XMLEvent.END_DOCUMENT:
            return "END_DOCUMENT";

        case XMLEvent.ENTITY_REFERENCE:
            return "ENTITY_REFERENCE";

        case XMLEvent.ATTRIBUTE:
            return "ATTRIBUTE";

        case XMLEvent.DTD:
            return "DTD";

        case XMLEvent.CDATA:
            return "CDATA";

        case XMLEvent.SPACE:
            return "SPACE";
    }
    return "UNKNOWN_EVENT_TYPE," + eventType;
}

返回输出

当你运行事件示例时，EventParse 类被编译，XML 流被解析为事件并返回到 STDOUT。例如，Author 元素的一个实例被返回为：

<[’http://www.publishing.org’]::Author>
    Dhirendra Brahmachari
</[’http://www.publishing.org’]::Author>

请注意，在这个示例中，事件包括一个包含命名空间的开标签和闭标签，两者都包含元素的内容作为字符串返回在标签内。

同样，一个 Cost 元素的一个实例被返回如下：

<[’http://www.publishing.org’]::Cost currency=’INR’>
    11.50
</[’http://www.publishing.org’]::Cost

在这种情况下，currency 属性和值在事件的开标签中返回。

运行事件示例

1. 要编译和运行事件示例，在终端窗口中，转到 INSTALL_DIR/jaxp-version/samples/ 目录并输入以下内容：

   javac -classpath ../lib/jaxp-ri.jar stax/event/*.java
   
   

2. 对 BookCatalogue.xml 文件运行 EventParse 示例，使用以下命令。

   java stax/event/EventParse stax/data/BookCatalogue.xml
   
   

   EventParse 将打印出由 BookCatalogue.xml 文件定义的所有元素的数据。

过滤器示例

位于 INSTALL_DIR/jaxp-version/samples/stax/filter/ 目录中，MyStreamFilter.java 演示了如何使用 StAX 流过滤器 API 过滤应用程序不需要的事件。在这个示例中，解析器过滤掉除了 StartElement 和 EndElement 之外的所有事件。

实现 StreamFilter 类

MyStreamFilter 类实现了 javax.xml.stream.StreamFilter：

public class MyStreamFilter implements javax.xml.stream.StreamFilter {
    // ...
}

创建一个输入工厂

下一步是创建一个 XMLInputFactory 实例。在这种情况下，还在工厂上设置了各种属性：

XMLInputFactory xmlif = null ;

try {
    xmlif = XMLInputFactory.newInstance();
    xmlif.setProperty(
        XMLInputFactory.IS_REPLACING_ENTITY_REFERENCES,
        Boolean.TRUE);

    xmlif.setProperty(
        XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES,
        Boolean.FALSE);

    xmlif.setProperty(
        XMLInputFactory.IS_NAMESPACE_AWARE,
        Boolean.TRUE);

    xmlif.setProperty(
        XMLInputFactory.IS_COALESCING,
        Boolean.TRUE);
} 
catch (Exception ex) {
    ex.printStackTrace();
}

System.out.println("FACTORY: " + xmlif);
System.out.println("filename = "+ filename);

创建过滤器

下一步是实例化一个文件输入流并创建流过滤器：

FileInputStream fis = new FileInputStream(filename);
XMLStreamReader xmlr = xmlif.createFilteredReader(
                           xmlif.createXMLStreamReader(fis), 
                           new MyStreamFilter());

int eventType = xmlr.getEventType();
printEventType(eventType);

while (xmlr.hasNext()) {
    eventType = xmlr.next();
    printEventType(eventType);
    printName(xmlr,eventType);
    printText(xmlr);

    if (xmlr.isStartElement()) {
        printAttributes(xmlr);
    }
    printPIData(xmlr);
    System.out.println("-----------------------");
}

捕获事件流

下一步是捕获事件流。这与事件示例中的方式基本相同。

过滤流

最后一步是过滤流：

public boolean accept(XMLStreamReader reader) {
    if (!reader.isStartElement() && !reader.isEndElement())
        return false;
    else
        return true;
}

返回输出

当你运行过滤器示例时，MyStreamFilter 类被编译，XML 流被解析为事件并返回到 STDOUT。例如，一个 Author 事件被返回如下：

EVENT TYPE(1):START_ELEMENT
HAS NAME: Author
HAS NO TEXT
HAS NO ATTRIBUTES
-----------------------------
EVENT TYPE(2):END_ELEMENT
HAS NAME: Author
HAS NO TEXT
-----------------------------

同样，一个 Cost 事件被返回如下：

EVENT TYPE(1):START_ELEMENT
HAS NAME: Cost
HAS NO TEXT

HAS ATTRIBUTES:
 ATTRIBUTE-PREFIX:
 ATTRIBUTE-NAMESP: null
ATTRIBUTE-NAME:   currency
ATTRIBUTE-VALUE: USD
ATTRIBUTE-TYPE:  CDATA

-----------------------------
EVENT TYPE(2):END_ELEMENT
HAS NAME: Cost
HAS NO TEXT
-----------------------------

查看 迭代器 API 和 读取 XML 流 以获取更详细的 StAX 事件解析讨论。

运行过滤器示例

1. 要编译和运行过滤器示例，在终端窗口中，转到 INSTALL_DIR/jaxp-version/samples/ 目录并输入以下内容：

   javac -classpath ../lib/jaxp-ri.jar stax/filter/*.java
   
   

2. 在 java.endorsed.dirs 系统属性设置为指向 samples/lib 目录的情况下，对 BookCatalogue.xml 文件运行 MyStreamFilter 示例，使用以下命令。

   java -Djava.endorsed.dirs=../lib stax/filter/MyStreamFilter -f stax/data/BookCatalogue.xml
   
   

   MyStreamFilter 将打印出由 BookCatalogue.xml 文件定义的事件作为 XML 流。

读写示例

位于INSTALL_DIR/jaxp-version/samples/stax/readnwrite/目录中，EventProducerConsumer.java演示了如何同时将 StAX 解析器用作生产者和消费者。

StAX XMLEventWriter API 扩展自XMLEventConsumer接口，并被称为事件消费者。相比之下，XMLEventReader是一个事件生产者。StAX 支持同时读取和写入，因此可以顺序地从一个 XML 流中读取并同时写入到另一个流中。

读写示例展示了如何使用 StAX 生产者/消费者机制同时读取和写入。该示例还展示了如何修改流以及如何动态添加新事件，然后写入到不同的流中。

创建一个事件生产者/消费者

第一步是实例化一个事件工厂，然后创建一个事件生产者/消费者的实例：

XMLEventFactory m_eventFactory = XMLEventFactory.newInstance();

public EventProducerConsumer() {
    // ...
    try {
        EventProducerConsumer ms = new EventProducerConsumer();

        XMLEventReader reader = XMLInputFactory.newInstance().
        createXMLEventReader(new java.io.FileInputStream(args[0]));

        XMLEventWriter writer = 
            XMLOutputFactory.newInstance().createXMLEventWriter(System.out);
    }
    // ...
}

创建一个迭代器

下一步是创建一个迭代器来解析流：

while (reader.hasNext()) {
    XMLEvent event = (XMLEvent)reader.next();
    if (event.getEventType() == event.CHARACTERS) {
        writer.add(ms.getNewCharactersEvent(event.asCharacters()));
    }
    else {
        writer.add(event);
    }
}
writer.flush();

创建一个写入器

最后一步是创建一个流写入器，形式为一个新的Character事件：

Characters getNewCharactersEvent(Characters event) {
    if (event.getData().equalsIgnoreCase("Name1")) {
        return m_eventFactory.createCharacters(
                   Calendar.getInstance().getTime().toString());
    }
    // else return the same event
    else {
        return event;
    }
}

返回输出

运行读写示例时，EventProducerConsumer类被编译，并且 XML 流被解析为事件并写回到STDOUT。输出是示例 XML 文档中描述的BookCatalog.xml文件的内容。

运行读写示例

1. 要编译和运行读写示例，在终端窗口中，转到INSTALL_DIR/jaxp-version/samples/目录并输入以下内容：

   javac -classpath ../lib/jaxp-ri.jar stax/readnwrite/*.java
   
   

2. 在BookCatalogue.xml文件上运行EventProducerConsumer示例，使用以下命令。

   java stax/readnwrite/EventProducerConsumer stax/data/BookCatalogue.xml
   
   

   EventProducerConsumer将打印出BookCatalogue.xml文件的内容。

写入器示例

位于INSTALL_DIR/jaxp-version/samples/stax/writer/目录中，CursorWriter.java演示了如何使用 StAX 游标 API 编写 XML 流。

创建输出工厂

第一步是创建一个XMLOutputFactory的实例：

XMLOutputFactory xof =  XMLOutputFactory.newInstance();

创建一个流写入器

下一步是创建一个XMLStreamWriter的实例：

XMLStreamWriter xtw = null;

写入流

最后一步是写入 XML 流。请注意，在写入最终的EndDocument后，流会被刷新并关闭：

xtw = xof.createXMLStreamWriter(new FileWriter(fileName));

xtw.writeComment("all elements here are explicitly in the HTML namespace");
xtw.writeStartDocument("utf-8","1.0");
xtw.setPrefix("html", "http://www.w3.org/TR/REC-html40");
xtw.writeStartElement("http://www.w3.org/TR/REC-html40","html");
xtw.writeNamespace("html", "http://www.w3.org/TR/REC-html40");
xtw.writeStartElement("http://www.w3.org/TR/REC-html40", "head");
xtw.writeStartElement("http://www.w3.org/TR/REC-html40", "title");
xtw.writeCharacters("Frobnostication");
xtw.writeEndElement();
xtw.writeEndElement();

xtw.writeStartElement("http://www.w3.org/TR/REC-html40", "body");
xtw.writeStartElement("http://www.w3.org/TR/REC-html40", "p");
xtw.writeCharacters("Moved to");
xtw.writeStartElement("http://www.w3.org/TR/REC-html40", "a");
xtw.writeAttribute("href","http://frob.com");
xtw.writeCharacters("here");
xtw.writeEndElement();
xtw.writeEndElement();
xtw.writeEndElement();
xtw.writeEndElement();
xtw.writeEndDocument();

xtw.flush();
xtw.close();

返回输出

运行写入器示例时，CursorWriter类被编译，并且 XML 流被解析为事件并写入到名为dist/CursorWriter-Output的文件中：

<!--all elements here are explicitly in the HTML namespace-->
<?xml version="1.0" encoding="utf-8"?>
<html:html >
<html:head>
<html:title>Frobnostication</html:title></html:head>
<html:body>
<html:p>Moved to <html:a href="http://frob.com">here</html:a>
</html:p>
</html:body>
</html:html>

在实际的dist/CursorWriter-Output文件中，该流是连续写入的，没有任何换行符；这里添加了换行符以便更容易阅读清单。在这个示例中，与事件示例中的对象流一样，命名空间前缀被添加到 HTML 标签的开头和结尾。虽然 StAX 规范不要求添加这个前缀，但是当输出流的最终范围不明确时，这是一个良好的实践。

运行写入器示例

1. 要编译和运行 Writer 示例，在终端窗口中，转到 INSTALL_DIR/jaxp-version/samples/ 目录，并输入以下内容：

   javac -classpath \
       ../lib/jaxp-ri.jar stax/writer/*.java
   
   

2. 运行 CursorWriter 示例，指定输出应写入的文件名。

   java stax/writer/CursorWriter -f *output_file*
   
   

   CursorWriter 将创建一个包含 返回输出 中显示的数据的相应名称的输出文件。

更多信息

docs.oracle.com/javase/tutorial/jaxp/stax/info.html

有关 StAX 的更多信息，请参见：

• Java 社区进程页面.

• W3C 推荐 可扩展标记语言（XML）1.0

• XML 信息集

• jcp.org 上的 JAXB 规范：JSR-222 Java XML 绑定架构（JAXB）

• W3C 推荐 文档对象模型

• SAX 简单 XML API

• DOM 文档对象模型

• W3C 推荐 XML 中的命名空间

有关使用 StAX 的一些有用文章，请参见：

• Jeff Ryan, StAX 是否应该成为您的 XML 工具箱中的一部分？

• Elliott Rusty Harold, StAX 简介

课程：JAXP 1.5 和新属性

原文：docs.oracle.com/javase/tutorial/jaxp/properties/index.html

本课程重点介绍了 JAXP 1.5 中引入的新属性。

JAXP 1.5 被添加到了 7u40 和 JDK 8 版本中。你可以从java.net下载当前的JDK 8 快照。

背景

原文：docs.oracle.com/javase/tutorial/jaxp/properties/backgnd.html

JAXP 安全处理功能对 XML 处理器施加资源限制，以抵御某些类型的拒绝服务攻击。 但是，它并不限制获取外部资源的方式，这在尝试安全处理 XML 文档时也是有用的。 当前的 JAXP 实现支持特定于实现的属性，可用于强制执行此类限制，但需要一种标准方法来实现。

JAXP 1.5 添加了三个新属性以及它们对应的系统属性，允许用户指定可以或不可以允许的外部连接类型。属性值是协议列表。 JAXP 处理器通过将协议与列表中的协议进行匹配来检查给定的外部连接是否被允许。 如果连接在列表中，则处理器将尝试建立连接，否则将拒绝连接。

JAXP 1.5 已经集成到 7u40 和 JDK8 中。

外部资源

原文：docs.oracle.com/javase/tutorial/jaxp/properties/resources.html

XML、Schema 和 XSLT 标准支持以下需要外部资源的构造。JDK XML 处理器的默认行为是建立连接并按照指定的方式获取外部资源。

• 外部 DTD：引用外部文档类型定义（DTD），示例：<!DOCTYPE root_element SYSTEM "url">

• 外部实体引用：引用外部数据，语法：<!ENTITY name SYSTEM "url">

  通用实体引用如下：

  
  <?xml version="1.0" standalone="no" ?>
  <!DOCTYPE doc [<!ENTITY otherFile SYSTEM "otherFile.xml">]>
  <doc>
      <foo>
      <bar>&otherFile;</bar>
      </foo>
  </doc>
  
  

• 外部参数实体，语法 <!ENTITY % name SYSTEM uri>。例如：

  <?xml version="1.0" standalone="no"?>
      <!DOCTYPE doc [
        <!ENTITY % foo SYSTEM "http://www.example.com/student.dtd"<
        %foo;
      ]>
  
  

• XInclude：在 XML 文档中包含外部信息集

• 使用 schemaLocation 属性、import 和 include 元素引用 XML Schema 组件。示例：schemaLocation="http://www.example.com/schema/bar.xsd"

• 使用 import 或 include 元素合并样式表：语法：<xsl:include href="include.xsl"/>

• xml-stylesheet 处理指令：用于在 xml 文档中包含样式表，语法：<?xml-stylesheet href="foo.xsl" type="text/xsl"?>

• XSLT document() 函数：用于访问外部 XML 文档中的节点。例如，<xsl:variable name="dummy" select="document('DocumentFunc2.xml')/>。

新属性

原文：docs.oracle.com/javase/tutorial/jaxp/properties/properties.html

JAXP 1.5 定义了三个新属性，用于调节 XML 处理器是否解析上述外部资源。这些属性是：

• javax.xml.XMLConstants.ACCESS_EXTERNAL_DTD

• javax.xml.XMLConstants.ACCESS_EXTERNAL_SCHEMA

• javax.xml.XMLConstants.ACCESS_EXTERNAL_STYLESHEET

这些 API 属性具有相应的系统属性和 jaxp.properties。

ACCESS_EXTERNAL_DTD

名称：http://javax.xml.XMLConstants/property/accessExternalDTD

定义：限制对外部 DTD、外部实体引用到指定协议的访问。

值：参见属性的值

默认值：all，允许连接到所有协议。

系统属性：javax.xml.accessExternalDTD

ACCESS_EXTERNAL_SCHEMA

名称：http://javax.xml.XMLConstants/property/accessExternalSchema

定义：限制对由schemaLocation属性、Import 和 Include 元素设置的外部引用协议的访问。

值：参见属性的值

默认值：all，允许连接到所有协议。

系统属性：javax.xml.accessExternalSchema

ACCESS_EXTERNAL_STYLESHEET

名称：http://javax.xml.XMLConstants/property/accessExternalStylesheet

定义：限制对由样式表处理指令、文档函数、Import 和 Include 元素设置的外部引用协议的访问。

值：参见属性的值

默认值：all，允许连接到所有协议。

系统属性：javax.xml.accessExternalStylesheet

${java.home}/lib/jaxp.properties

这些属性可以在jaxp.properties中指定，以定义所有使用 Java Runtime 的应用程序的行为。格式为property-name=[value][,value]*。例如：

javax.xml.accessExternalDTD=file,http

属性名称与系统属性相同：javax.xml.accessExternalDTD、javax.xml.accessExternalSchema和javax.xml.accessExternalStylesheet。

属性的值

所有属性的值格式相同。

值：由逗号分隔的协议列表。协议是 URI 的 scheme 部分，或者在 JAR 协议的情况下，由冒号分隔的"jar"加上 scheme 部分。协议定义为：

scheme = alpha *( alpha | digit | "+" | "-" | "." )

其中 alpha = a-z 和 A-Z。

以及 JAR 协议：

jar[:scheme]

协议不区分大小写。值中由Character.isSpaceChar定义的任何空格将被忽略。协议的示例包括file、http、jar:file。

默认值：默认值是实现特定的。在 JAXP 1.5 RI、Java SE 7u40 和 Java SE 8 中，默认值为all，授予所有协议的权限。

授予所有访问：关键字all授予所有协议的权限。例如，在jaxp.properties中设置javax.xml.accessExternalDTD=all将允许系统像以前一样工作，无限制地访问外部 DTD 和实体引用。

拒绝任何访问：空字符串，即""，表示不授予任何协议权限。例如，在jaxp.properties中设置javax.xml.accessExternalDTD=""将指示 JAXP 处理器拒绝任何外部连接。

范围和顺序

原文：docs.oracle.com/javase/tutorial/jaxp/properties/scope.html

javax.xml.XMLConstants#FEATURE_SECURE_PROCESSING（FSP）是包括 DOM、SAX、Schema Validation、XSLT 和 XPath 在内的 XML 处理器的必需功能。当设置为true时，建议实现启用由上述新属性定义的访问限制。为了兼容性，尽管对于 DOM、SAX 和 Schema Validation，默认情况下 FSP 为 true，但 JAXP 1.5 不会启用新的限制。

对于 JDK 8，建议将新的accessExternal*属性在 FSP 被明确设置时设置为空字符串。这仅在通过 API 设置 FSP 时才会发生，例如factory.setFeature(FSP, true)。尽管对于 DOM、SAX 和 Schema Validation，默认情况下 FSP 为 true，但 JDK 8 并不将其视为“明确”设置，因此默认情况下不会设置限制。

在jaxp.properties文件中指定的属性会影响 JDK 或 JRE 的所有调用，并将覆盖其默认值，或者可能已经由 FEATURE_SECURE_PROCESSING 设置的值。

当设置系统属性时，将仅影响一个调用，并将覆盖默认设置或在 jaxp.properties 中设置的设置，或者可能已经由 FEATURE_SECURE_PROCESSING 设置的设置。

通过 JAXP 工厂或SAXParser指定的 JAXP 属性优先于系统属性，jaxp.properties文件以及javax.xml.XMLConstants#FEATURE_SECURE_PROCESSING。

新的 JAXP 属性在以下情况下对其试图限制的相关构造没有影响：

• 当存在解析器并且解析器返回的源不为 null 时。这适用于可能设置在 SAX 和 DOM 解析器上的实体解析器，StAX 解析器上的 XML 解析器，SchemaFactory 上的 LSResourceResolver，验证器或 ValidatorHandler，或者转换器上的 URIResolver。

• 当通过调用SchemaFactory的newSchema方法显式创建模式时。

• 当不需要外部资源时。例如，以下功能/属性由参考实现支持，并可用于指示处理器不加载外部 DTD 或解析外部实体。

  http://apache.org/xml/features/disallow-doctype-decl true
  http://apache.org/xml/features/nonvalidating/load-external-dtd false
  http://xml.org/sax/features/external-general-entities false
  http://xml.org/sax/features/external-parameter-entities false
  
  

与安全管理器的关系

原文：docs.oracle.com/javase/tutorial/jaxp/properties/security.html

在尝试连接之前，将首先检查 JAXP 属性，无论是否存在SecurityManager。这意味着即使SecurityManager授予权限，连接也可能被阻止。例如，如果 JAXP 属性被设置为禁止 http 协议，它们将有效地阻止任何连接尝试，即使应用程序具有SocketPermission。

为了限制连接，SecurityManager可以被视为处于较低级别。在评估 JAXP 属性之后，权限将被检查。例如，如果一个应用程序没有SocketPermission，即使 JAXP 属性被设置为允许 http 连接，也会抛出SecurityException。

当存在SecurityManager时，JAXP FEATURE_SECURE_PROCESSING被设置为 true。这种行为不会启用新的限制。

JDK 中的属性设置

原文：docs.oracle.com/javase/tutorial/jaxp/properties/propSettings.html

以下表格显示了 JDK 中新属性的默认值和行为。

(a) 设置 FSP 意味着明确使用 JAXP 工厂的 setFeature 方法设置 FEATURE_SECURE_PROCESSING。

(b) 7u40 和 JDK8 之间唯一的行为差异是，在 7u40 中设置 FSP 不会更改 accessExternal* 属性，但在 JDK8 中会将值设置为空字符串。在 JDK8 中，设置 FSP 被视为选择加入。

(c) 表中从左到右的顺序反映了覆盖顺序。例如，如果通过 API 设置了 accessExternal 属性，则会覆盖其他可能已通过其他方式设置的属性。

使用属性

译文：docs.oracle.com/javase/tutorial/jaxp/properties/usingProps.html

本节重点介绍了 JAXP 1.5 中引入的新属性。

何时使用属性

只有处理不受信任的 XML 内容的应用程序才需要限制获取外部资源。不处理不受信任内容的内部系统和应用程序不需要关注新的限制或进行任何更改。自 7u40 和 JDK8 默认没有对此类限制的要求，应用程序在升级到 7u40 和 JDK8 时不会出现行为变化。

对于处理不受信任的 XML 输入、Schema 或样式表的应用程序，如果已经存在安全措施，比如启用 Java 安全管理器仅授予受信任的外部连接，或者使用解析器解析实体，则不需要 JAXP 1.5 中添加的新功能。

然而，JAXP 1.5 确实为没有安全管理器运行的系统和应用程序提供了直接的保护。对于这类应用程序，可以考虑使用下面详细描述的新功能来进行限制。

通过 API 设置属性

当改变代码可行时，通过 JAXP 工厂或解析器设置新属性是启用限制的最佳方式。属性可以通过以下接口设置：

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setAttribute(name, value);

SAXParserFactory spf = SAXParserFactory.newInstance();
SAXParser parser = spf.newSAXParser();
parser.setProperty(name, value);

XMLInputFactory xif = XMLInputFactory.newInstance();
xif.setProperty(name, value);

SchemaFactory schemaFactory = SchemaFactory.newInstance(schemaLanguage);
schemaFactory.setProperty(name, value);

TransformerFactory factory = TransformerFactory.newInstance();
factory.setAttribute(name, value);

以下是一个将 DOM 解析器限制为仅本地连接的外部 DTD 的示例：

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
try {
    dbf.setAttribute({{XMLConstants.ACCESS_EXTERNAL_DTD}}, "file, jar:file");
} catch (IllegalArgumentException e) {
    //jaxp 1.5 feature not supported
}

当代码更改可行，并且对于新开发，建议设置新属性如上所示。通过这种方式设置属性，应用程序可以确保无论部署到较旧还是较新版本的 JDK，或者通过系统属性或jaxp.properties设置属性，都能保持所需的行为。

使用系统属性

如果改变代码不可行，系统属性可能会有用。

如果希望为整个 JDK/JRE 调用设置限制，可以在命令行上设置系统属性；如果仅需要部分应用程序，可以在该部分之前设置系统属性，然后在之后清除。例如，以下代码展示了如何使用系统属性：

//allow resolution of external schemas

System.setProperty("javax.xml.accessExternalSchema", "file, http");

//this setting will affect all processing after it's set
some processing here

//after it's done, clear the property
System.clearProperty("javax.xml.accessExternalSchema");

使用 jaxp.properties

jaxp.properties 是一个普通的配置文件。它位于${java.home}/lib/jaxp.properties，其中 java.home 是 JRE 安装目录，例如，[安装目录路径]/jdk7/jre。

可通过将以下行添加到 jaxp.properties 文件来设置外部访问限制：

javax.xml.accessExternalStylesheet=file, http

设置此项后，所有 JDK/JRE 的调用将遵守加载外部样式表的限制。

对于不希望允许 XML 处理器进行任何外部连接的系统，此功能可能很有用，此时，所有三个属性可以设置为，例如，仅文件。

错误处理

原文：docs.oracle.com/javase/tutorial/jaxp/properties/error.html

由于这些属性是当前版本的新功能，建议应用程序捕获适合接口的异常，例如，在以下示例中捕获 SAXException。在旧版本上，应用程序可能正常工作，例如，示例代码包含以下方法，用于检测是否使用支持新属性的 JDK 版本或 JAXP 实现运行示例：

public boolean isNewPropertySupported() {
       try {
           SAXParserFactory spf = SAXParserFactory.newInstance();
           SAXParser parser = spf.newSAXParser();
           parser.setProperty("http://javax.xml.XMLConstants/property/accessExternalDTD", "file");
       } catch (ParserConfigurationException ex) {
           fail(ex.getMessage());
       } catch (SAXException ex) {
           String err = ex.getMessage();
           if (err.indexOf("Property 'http://javax.xml.XMLConstants/property/accessExternalDTD' is not recognized.") > -1)
           {
             //expected, jaxp 1.5 not supported
             return false;
           }
       }
       return true;
  }

如果由于新属性设置的限制而拒绝访问外部资源，则将以以下格式抛出异常并带有错误信息：

[type of construct]: Failed to read [type of construct] "[name of the external resource]", because "[type of restriction]" access is not allowed due to restriction set by the [property name] property.

例如，如果由于限制只允许使用 http 协议而拒绝获取外部 DTD，如下所示：parser.setProperty("http://javax.xml.XMLConstants/property/accessExternalDTD", "file");，并且解析器解析包含对"http://java.sun.com/dtd/properties.dtd"的外部引用的 XML 文件，则错误消息将如下所示：

External DTD: Failed to read external DTD ''http://java.sun.com/dtd/properties.dtd'', because ''http'' access is not allowed due to restriction set by the accessExternalDTD property.

StAX

原文：docs.oracle.com/javase/tutorial/jaxp/properties/stax.html

StAX、JSR 173 的规范尚不支持新属性。然而，在 JAXP 的上下文中，StAX 确实包括对这些属性的支持。设置新属性类似于 SAX 或 DOM，但通过 XMLInputFactory，如下所示：

XMLInputFactory xif = XMLInputFactory.newInstance();
xif.setProperty("http://javax.xml.XMLConstants/property/accessExternalDTD", "file");

存在于 StAX、JSR 173 规范中指定的属性和特性将优先于新的 JAXP 属性。例如，当 SupportDTD 属性设置为 false 时，将导致程序在输入文件包含 DTD 之前无法解析时抛出异常。对于使用 SupportDTD 属性禁用 DTD 的应用程序，新属性的添加不会产生影响。

结论

原文：docs.oracle.com/javase/tutorial/jaxp/properties/conclusion.html

JAXP 1.5 提供了新的属性，让用户可以控制获取外部资源。使用新属性与其他现有属性相同，只是这些属性与相应的系统属性和jaxp.properties一起提供，以便它们可以用于系统范围的限制或权限。

参考资料

原文：docs.oracle.com/javase/tutorial/jaxp/properties/references.html

欲了解更多信息，请参阅以下资源：

• JSR 206 JAXP 1.5 maintenance review

• 7u40 Release Notes

• JDK 8 API and Documentation

• JDK 7 API and Documentation

• JEP 185

Lesson: 处理限制

原文：docs.oracle.com/javase/tutorial/jaxp/limits/index.html

XML 处理有时可能是一个消耗大量内存的操作。应用程序，特别是那些接受来自不受信任来源的 XML、XSD 和 XSL 的应用程序，应该通过使用 JDK 提供的 JAXP 处理限制来防范过度的内存消耗。

开发人员应该评估他们应用程序的需求和运行环境，以确定系统配置的可接受限制，并相应地设置这些限制。与大小相关的限制可用于防止处理畸形的 XML 源时消耗大量内存，而EntityExpansionLimit将允许应用程序在可接受水平下控制内存消耗。

在本教程中，您将了解这些限制，并学习如何正确使用它们。

处理限制定义

原文：docs.oracle.com/javase/tutorial/jaxp/limits/limits.html

以下列表描述了 JDK 支持的 JAXP XML 处理限制。这些限制可以通过工厂 API、系统属性和jaxp.properties文件指定。

entityExpansionLimit

elementAttributeLimit

maxOccurLimit

totalEntitySizeLimit

maxGeneralEntitySizeLimit

maxParameterEntitySizeLimit

entityReplacementLimit

maxElementDepth

maxXMLNameLimit

旧版系统属性

这些属性自 JDK 5.0 和 6 起被引入，并继续为向后兼容性而受支持。

{java.home}/lib/jaxp.properties

可以在jaxp.properties文件中指定系统属性，以定义 JDK 或 JRE 的所有调用的行为。格式为system-property-name=value。例如：

jdk.xml.maxGeneralEntitySizeLimit=1024

范围和顺序

原文：docs.oracle.com/javase/tutorial/jaxp/limits/scope.html

javax.xml.XMLConstants#FEATURE_SECURE_PROCESSING（FSP）功能对包括 DOM、SAX、模式验证、XSLT 和 XPath 在内的 XML 处理器是必需的。当 FSP 设置为true时，建议的默认限制将被强制执行。将 FSP 设置为false不会改变这些限制。

当 Java 安全管理器存在时，FSP 被设置为 true 且无法关闭。因此，建议的默认限制将被强制执行。

在jaxp.properties文件中指定的属性会影响 JDK 和 JRE 的所有调用，并将覆盖它们的默认值，或者可能已被 FSP 设置的值。

系统属性在设置时会影响 JDK 和 JRE 的调用，并覆盖默认设置或者在jaxp.properties中设置的值，或者可能已被 FSP 设置的值。

通过 JAXP 工厂或SAXParser指定的 JAXP 属性优先于系统属性，jaxp.properties文件以及FEATURE_SECURE_PROCESSING。

使用限制

原文：docs.oracle.com/javase/tutorial/jaxp/limits/using.html

环境评估

评估包括在系统级别考虑应用程序可用的内存量，是否接受和处理来自不受信任来源的 XML、XSD 或 XSL 源，以及在应用程序级别考虑是否使用某些构造（如 DTD）。

内存设置和限制

XML 处理可能非常消耗内存。允许消耗的内存量取决于特定环境中应用程序的要求。必须防止处理格式不正确的 XML 数据消耗过多内存。

默认限制通常设置为允许大多数应用程序的合法 XML 输入，并允许小型硬件系统（如 PC）的内存使用。建议将限制设置为可能的最小值，以便在消耗大量内存之前捕获任何格式不正确的输入。

这些限制是相关的，但并非完全冗余。您应为所有限制设置适当的值：通常限制应设置为比默认值小得多的值。

例如，可以设置ENTITY_EXPANSION_LIMIT和GENERAL_ENTITY_SIZE_LIMIT来防止过多的实体引用。但是当扩展和实体大小的确切组合未知时，TOTAL_ENTITY_SIZE_LIMIT可以作为整体控制。同样，虽然TOTAL_ENTITY_SIZE_LIMIT控制替换文本的总大小，但如果文本是一个非常大的 XML 块，ENTITY_REPLACEMENT_LIMIT会限制文本中可以出现的节点总数，并防止系统过载。

通过使用getEntityCountInfo属性估计限制

为帮助您分析应设置的限制值，提供了一个名为http://www.oracle.com/xml/jaxp/properties/getEntityCountInfo的特殊属性。以下代码片段显示了使用该属性的示例：

parser.setProperty("http://www.oracle.com/xml/jaxp/properties/getEntityCountInfo", "yes");

查看示例以获取有关下载示例代码的更多信息。

当程序在 W3C MathML 3.0 中运行时，将打印出以下表格：

在此示例中，实体引用的总数，或实体扩展，为 1417；默认限制为 64000。所有实体的总大小为 55425；默认限制为 50000000。在解析所有引用后，最大的参数实体是 %MultiScriptExpression，长度为 7303；默认限制为 1000000。

如果这是应用程序预计要处理的最大文件，请建议将限制设置为较小的数字。例如，ENTITY_EXPANSION_LIMIT 设置为 2000，TOTAL_ENTITY_SIZE_LIMIT 设置为 100000，PARAMETER_ENTITY_SIZE_LIMIT 设置为 10000。

设置限制

限制可以像其他 JAXP 属性一样设置。它们可以通过工厂方法或解析器设置：

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setAttribute(name, value);

SAXParserFactory spf = SAXParserFactory.newInstance();
SAXParser parser = spf.newSAXParser();
parser.setProperty(name, value);

XMLInputFactory xif = XMLInputFactory.newInstance();
xif.setProperty(name, value);

SchemaFactory schemaFactory = SchemaFactory.newInstance(schemaLanguage);
schemaFactory.setProperty(name, value);

TransformerFactory factory = TransformerFactory.newInstance();
factory.setAttribute(name, value);

以下示例显示了如何使用 DocumentBuilderFactory 设置限制：

dbf.setAttribute(JDK_ENTITY_EXPANSION_LIMIT, "2000");
dbf.setAttribute(TOTAL_ENTITY_SIZE_LIMIT, "100000");
dbf.setAttribute(PARAMETER_ENTITY_SIZE_LIMIT, "10000"); 
dbf.setAttribute(JDK_MAX_ELEMENT_DEPTH, "100"); 

使用系统属性

如果更改代码不可行，系统属性可能很有用。

要为整个 JDK 或 JRE 的调用设置限制，请在命令行上设置系统属性。要仅为应用程序的一部分设置限制，可以在该部分之前设置系统属性，并在之后清除。以下代码显示了如何使用系统属性：

public static final String SP_GENERAL_ENTITY_SIZE_LIMIT = "jdk.xml.maxGeneralEntitySizeLimit";

//set limits using system property
System.setProperty(SP_GENERAL_ENTITY_SIZE_LIMIT, "2000");

//this setting will affect all processing after it's set
...

//after it is done, clear the property
System.clearProperty(SP_GENERAL_ENTITY_SIZE_LIMIT);

请注意，属性的值应为整数。如果输入的值不包含可解析的整数，将抛出 NumberFormatException；请参阅方法 parseInt(String)。

查看 示例 以获取有关下载示例代码的更多信息。

使用 jaxp.properties 文件

jaxp.properties 文件是一个配置文件。通常位于 ${*java.home*}/lib/jaxp.properties，其中 *java.home* 是 JRE 安装目录，例如，[安装目录路径]/jdk8/jre。

可通过向 jaxp.properties 文件添加以下行来设置限制：

jdk.xml.maxGeneralEntitySizeLimit=2000

请注意，属性名称与系统属性相同，并具有前缀 jdk.xml。属性的值应为整数。如果输入的值不包含可解析的整数，将抛出 NumberFormatException；请参阅方法 parseInt(String)。

当在文件中设置属性时，所有 JDK 和 JRE 的调用都将遵守限制。

错误处理

原文：docs.oracle.com/javase/tutorial/jaxp/limits/error.html

建议应用程序在设置新属性时捕获org.xml.sax.SAXNotRecognizedException异常，以便应用程序在不支持这些属性的旧版本上正常工作。例如，可下载的示例代码包含以下方法，isNewPropertySupported，用于检测示例是否在支持JDK_GENERAL_ENTITY_SIZE_LIMIT属性的 JDK 版本上运行：

public boolean isNewPropertySupported() {
    try {
        SAXParser parser = getSAXParser(false, false, false);
        parser.setProperty(JDK_GENERAL_ENTITY_SIZE_LIMIT, "10000");
    } catch (ParserConfigurationException ex) {
        fail(ex.getMessage());
    } catch (SAXException ex) {
        String err = ex.getMessage();
        if (err.indexOf("Property '" + JDK_GENERAL_ENTITY_SIZE_LIMIT +
                                       "' is not recognized.") > -1) {
            //expected before this patch
            debugPrint("New limit properties not supported. Samples not run.");
            return false;
        }
    }
    return true;
}

当输入文件包含导致超出限制异常的结构时，应用程序可以检查错误代码以确定失败的性质。以下错误代码适用于这些限制：

• EntityExpansionLimit: JAXP00010001

• ElementAttributeLimit: JAXP00010002

• MaxEntitySizeLimit: JAXP00010003

• TotalEntitySizeLimit: JAXP00010004

• MaxXMLNameLimit: JAXP00010005

• maxElementDepth: JAXP00010006

• EntityReplacementLimit: JAXP00010007

错误代码的格式如下：

"JAXP" + components (two digits) + error category (two digits) + sequence number

因此，代码 JAXP00010001 代表了 JAXP 基本解析器安全限制EntityExpansionLimit。

StAX

原文：docs.oracle.com/javase/tutorial/jaxp/limits/stax.html

StAX，JSR 173，不支持 FSP。然而，JDK 中的 StAX 实现支持新的限制属性及其对应的系统属性。这意味着，虽然没有 FSP 来开启和关闭限制，但描述的限制和系统属性的工作方式完全相同。

为了兼容性，StAX 特定属性总是在新的 JAXP 限制之前生效。例如，将SupportDTD属性设置为 false 会导致在输入文件包含Entity引用时抛出异常。因此，对于使用SupportDTD属性禁用 DTD 的应用程序，新限制的添加不会产生影响。

Samples

原文：docs.oracle.com/javase/tutorial/jaxp/limits/sample.html

你可以下载包含两个 Java 应用程序文件LimitSamples.java和SampleBase.java以及一个包含示例 xml 文件的目录samples的samples.zip文件。

要运行示例，请解压samples.zip文件，编译，并在命令行上执行以下操作：

java LimitSamples

Trail: RMI

原文：docs.oracle.com/javase/tutorial/rmi/index.html

Java 远程方法调用（RMI）系统允许在一个 Java 虚拟机中运行的对象调用另一个 Java 虚拟机中运行的对象的方法。RMI 提供了 Java 编程语言编写的程序之间的远程通信。

注意： 如果你要连接到一个现有的 IDL 程序，应该使用 Java IDL 而不是 RMI。

本教程简要介绍了 RMI 系统，然后演示了一个完整的客户端/服务器示例，该示例利用了 RMI 的独特功能，在运行时加载和执行用户定义的任务。示例中的服务器实现了一个通用的计算引擎，客户端用它来计算 的值。

描述了 RMI 系统并列出了其优势。此外，本节介绍了典型的 RMI 应用程序，由服务器和客户端组成，并介绍了重要术语。

演示了计算引擎服务器的代码。本节将教你如何设计和实现一个 RMI 服务器。

着眼于一个可能的计算引擎客户端，并用它来说明 RMI 客户端的重要特性。

展示了如何编译和运行计算引擎服务器及其客户端。

RMI 应用概述

原文：docs.oracle.com/javase/tutorial/rmi/overview.html

RMI 应用程序通常由两个独立的程序组成，一个服务器和一个客户端。典型的服务器程序创建一些远程对象，使这些对象的引用可访问，并等待客户端调用这些对象的方法。典型的客户端程序获取服务器上一个或多个远程对象的远程引用，然后调用这些对象的方法。RMI 提供了服务器和客户端进行通信和传递信息的机制。这样的应用有时被称为分布式对象应用。

分布式对象应用需要执行以下操作：

• 定位远程对象。 应用程序可以使用各种机制获取对远程对象的引用。例如，应用程序可以使用 RMI 的简单命名设施，即 RMI 注册表，注册其远程对象。另外，应用程序可以将远程对象引用作为其他远程调用的一部分传递和返回。

• 与远程对象通信。 远程对象之间的通信细节由 RMI 处理。对于程序员来说，远程通信看起来类似于常规的 Java 方法调用。

• 加载传递的对象的类定义。 因为 RMI 允许对象来回传递，它提供了加载对象的类定义以及传输对象数据的机制。

以下插图描述了一个使用 RMI 注册表获取远程对象引用的 RMI 分布式应用程序。服务器调用注册表将名称与远程对象关联（或绑定）。客户端在服务器的注册表中按名称查找远程对象，然后调用其方法。插图还显示了 RMI 系统使用现有的 Web 服务器在需要时从服务器到客户端和从客户端到服务器加载类定义的过程。

动态代码加载的优势

RMI 的一个核心和独特特性是，如果接收方的 Java 虚拟机中未定义类的定义，它可以下载对象类的定义。一个对象的所有类型和行为，以前仅在单个 Java 虚拟机中可用，可以传输到另一个可能是远程的 Java 虚拟机。RMI 通过其实际类传递对象，因此当它们被发送到另一个 Java 虚拟机时，对象的行为不会改变。这种能力使得可以将新类型和行为引入到远程 Java 虚拟机中，从而动态扩展应用程序的行为。本教程中的计算引擎示例使用了这种能力来向分布式程序引入新行为。

远程接口、对象和方法

与任何其他 Java 应用程序一样，使用 Java RMI 构建的分布式应用程序由接口和类组成。接口声明方法。类实现接口中声明的方法，并且可能还声明其他方法。在分布式应用程序中，一些实现可能驻留在一些 Java 虚拟机中，而另一些则不在。具有可以在 Java 虚拟机之间调用的方法的对象称为远程对象。

通过实现远程接口，对象变成远程对象，具有以下特征：

• 一个远程接口扩展接口java.rmi.Remote。

• 接口的每个方法在其throws子句中声明java.rmi.RemoteException，除了任何特定于应用程序的异常。

当对象从一个 Java 虚拟机传递到另一个 Java 虚拟机时，RMI 会将远程对象与非远程对象区别对待。RMI 不会在接收 Java 虚拟机中复制实现对象，而是传递一个远程对象的远程存根。存根充当远程对象的本地代表或代理，并且基本上是客户端的远程引用。客户端在本地存根上调用方法，本地存根负责在远程对象上执行方法调用。

一个远程对象的存根实现了远程对象实现的相同一组远程接口。这个属性使得一个存根可以被转换为远程对象实现的任何接口。然而，只有在远程接口中定义的方法才能从接收 Java 虚拟机中调用。

使用 RMI 创建分布式应用程序

使用 RMI 开发分布式应用程序涉及以下一般步骤：

1. 设计和实现分布式应用程序的组件。

2. 编译源代码。

3. 使类可网络访问。

4. 启动应用程序。

设计和实现应用程序组件

首先，确定您的应用程序架构，包括哪些组件是本地对象，哪些组件是可远程访问的。这一步包括：

• 定义远程接口。 远程接口指定客户端可以远程调用的方法。客户端编程针对远程接口，而不是针对这些接口的实现类。这些接口的设计包括确定将用作这些方法的参数和返回值的对象类型。如果这些接口或类中的任何一个尚不存在，您也需要定义它们。

• 实现远程对象。 远程对象必须实现一个或多个远程接口。远程对象类可能包括其他仅在本地可用的接口和方法的实现。如果要将任何本地类用作这些方法的参数或返回值，那么它们也必须被实现。

• 实现客户端。 使用远程对象的客户端可以在定义远程接口之后的任何时间实现，包括在部署远程对象之后。

编译源代码

与任何 Java 程序一样，您使用javac编译器来编译源文件。源文件包含远程接口的声明、它们的实现、任何其他服务器类以及客户端类。

注意： 在 Java 平台标准版 5.0 之前的版本中，需要通过使用rmic编译器来构建存根类，但现在不再需要这一步骤。

使类能够在网络中访问

在这一步中，您需要使某些类定义能够在网络中访问，例如远程接口及其关联类型的定义，以及需要下载到客户端或服务器的类的定义。通常通过 Web 服务器使类定义能够在网络中访问。

启动应用程序

启动应用程序包括运行 RMI 远程对象注册表、服务器和客户端。

本节的其余部分将介绍创建计算引擎所使用的步骤。

构建通用计算引擎

本教程专注于一个简单但强大的分布式应用程序，称为计算引擎。计算引擎是服务器上的一个远程对象，它接收来自客户端的任务，运行这些任务，并返回任何结果。这些任务在运行服务器的机器上执行。这种类型的分布式应用程序可以让多台客户端机器利用特别强大或具有专门硬件的机器。

计算引擎的新颖之处在于它运行的任务不需要在编写或启动计算引擎时定义。可以随时创建新类型的任务，然后将其交给计算引擎运行。任务的唯一要求是其类实现特定接口。RMI 系统可以将执行任务所需的代码下载到计算引擎中。然后，计算引擎在运行它的机器上利用资源运行任务。

执行任意任务的能力是由 Java 平台的动态特性实现的，通过 RMI 扩展到网络。RMI 动态加载任务代码到计算引擎的 Java 虚拟机中，并在没有实现任务的类的先验知识的情况下运行任务。这种具有动态下载代码能力的应用程序通常被称为基于行为的应用程序。这些应用程序通常需要完整的代理启用基础设施。在 Java 平台上，这些应用程序是分布式计算的基本机制之一。

编写一个 RMI 服务器

原文：docs.oracle.com/javase/tutorial/rmi/server.html

计算引擎服务器接受来自客户端的任务，运行这些任务，并返回任何结果。服务器代码由一个接口和一个类组成。接口定义了可以从客户端调用的方法。实质上，接口定义了客户端对远程对象的视图。类提供了实现。

设计一个远程接口

这一部分解释了Compute接口，它提供了客户端和服务器之间的连接。您还将了解支持此通信的 RMI API。

实现一个远程接口

这一部分探讨了实现Compute接口的类，从而实现了一个远程对象。这个类还提供了组成服务器程序的其余代码，包括一个创建远程对象实例的main方法，将其注册到 RMI 注册表，并设置安全管理器。

设计远程接口

原文：docs.oracle.com/javase/tutorial/rmi/designing.html

计算引擎的核心是一种协议，使得任务可以提交到计算引擎，计算引擎可以运行这些任务，并将这些任务的结果返回给客户端。这个协议在支持计算引擎的接口中表达。该协议的远程通信在下图中有所体现。

每个接口包含一个方法。计算引擎的远程接口Compute允许任务提交到引擎。客户端接口Task定义了计算引擎如何执行提交的任务。

compute.Compute接口定义了远程访问部分，即计算引擎本身。这里是Compute接口的源代码：

package compute;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface Compute extends Remote {
    <T> T executeTask(Task<T> t) throws RemoteException;
}

通过扩展接口java.rmi.Remote，Compute接口将自身标识为一个可以从另一个 Java 虚拟机中调用其方法的接口。实现这个接口的任何对象都可以是一个远程对象。

作为远程接口的成员，executeTask方法是一个远程方法。因此，该方法必须被定义为能够抛出java.rmi.RemoteException的方法。这个异常是由 RMI 系统从远程方法调用中抛出的，用于指示通信失败或协议错误。RemoteException是一个受检异常，因此任何调用远程方法的代码都需要通过捕获它或在其throws子句中声明来处理这个异常。

计算引擎所需的第二个接口是Task接口，它是Compute接口中executeTask方法的参数类型。compute.Task接口定义了计算引擎和需要执行的工作之间的接口，提供了开始工作的方式。这里是Task接口的源代码：

package compute;

public interface Task<T> {
    T execute();
}

Task接口定义了一个方法execute，该方法没有参数，也不会抛出异常。因为该接口没有扩展Remote，所以在该接口中的方法不需要在throws子句中列出java.rmi.RemoteException。

Task接口有一个类型参数T，代表任务计算的结果类型。该接口的execute方法返回计算的结果，因此其返回类型是T。

Compute接口的executeTask方法反过来返回传递给它的Task实例的执行结果。因此，executeTask方法有自己的类型参数T，将其自己的返回类型与传递的Task实例的结果类型关联起来。

RMI 使用 Java 对象序列化机制在 Java 虚拟机之间按值传输对象。要使对象被视为可序列化，其类必须实现java.io.Serializable标记接口。因此，实现Task接口的类必须也实现Serializable，任务结果所使用的对象的类也必须实现。

只要它们是Task类型的实现，不同类型的任务可以由Compute对象运行。实现这个接口的类可以包含任务计算所需的任何数据以及计算所需的任何其他方法。

这就是 RMI 如何使这个简单的计算引擎成为可能。因为 RMI 可以假定Task对象是用 Java 编程语言编写的，之前未知于计算引擎的Task对象的实现会根据需要通过 RMI 下载到计算引擎的 Java 虚拟机中。这种能力使得计算引擎的客户端能够定义新的任务类型，而无需将代码明确安装在该机器上。

由ComputeEngine类实现的计算引擎实现了Compute接口，通过调用其executeTask方法，使不同的任务可以提交给它。这些任务使用任务的execute方法的实现来运行，并将结果返回给远程客户端。

实现远程接口。

原文：docs.oracle.com/javase/tutorial/rmi/implementing.html

本节讨论实现计算引擎类的任务。一般来说，实现远程接口的类至少应该执行以下操作：

• 声明正在实现的远程接口。

• 为每个远程对象定义构造函数。

• 为远程接口中的每个远程方法提供实现。

RMI 服务器程序需要创建初始远程对象并将其导出到 RMI 运行时，使其可用于接收传入的远程调用。此设置过程可以封装在远程对象实现类本身的方法中，也可以完全包含在另一个类中。设置过程应执行以下操作：

• 创建并安装安全管理器

• 创建并导出一个或多个远程对象。

• 至少在 RMI 注册表（或其他命名服务，如通过 Java 命名和目录接口访问的服务）中注册一个远程对象，用于引导目的。

计算引擎的完整实现如下。engine.ComputeEngine类实现了远程接口Compute，并包括用于设置计算引擎的main方法。以下是ComputeEngine类的源代码：

package engine;

import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;
import compute.Compute;
import compute.Task;

public class ComputeEngine implements Compute {

    public ComputeEngine() {
        super();
    }

    public <T> T executeTask(Task<T> t) {
        return t.execute();
    }

    public static void main(String[] args) {
        if (System.getSecurityManager() == null) {
            System.setSecurityManager(new SecurityManager());
        }
        try {
            String name = "Compute";
            Compute engine = new ComputeEngine();
            Compute stub =
                (Compute) UnicastRemoteObject.exportObject(engine, 0);
            Registry registry = LocateRegistry.getRegistry();
            registry.rebind(name, stub);
            System.out.println("ComputeEngine bound");
        } catch (Exception e) {
            System.err.println("ComputeEngine exception:");
            e.printStackTrace();
        }
    }
}

以下各节讨论计算引擎实现的每个组件。

声明正在实现的远程接口。

计算引擎的实现类声明如下：

public class ComputeEngine implements Compute

此声明说明该类实现了Compute远程接口，因此可以用作远程对象。

ComputeEngine类定义了一个远程对象实现类，该类实现了一个单独的远程接口，没有其他接口。ComputeEngine类还包含两个仅可在本地调用的可执行程序元素。其中一个元素是用于ComputeEngine实例的构造函数。另一个元素是用于创建ComputeEngine实例并使其对客户端可用的main方法。

为远程对象定义构造函数。

ComputeEngine类有一个不带参数的构造函数。构造函数的代码如下：

public ComputeEngine() {
    super();
}

此构造函数只调用了超类构造函数，即Object类的无参数构造函数。尽管即使在ComputeEngine构造函数中省略了超类构造函数，超类构造函数也会被调用，但为了清晰起见，还是包含在内。

为每个远程方法提供实现。

远程对象的类为远程接口中指定的每个远程方法提供实现。Compute接口包含一个单独的远程方法，executeTask，其实现如下：

public <T> T executeTask(Task<T> t) {
    return t.execute();
}

此方法实现了ComputeEngine远程对象与其客户端之间的协议。每个客户端都向ComputeEngine提供一个具有Task接口的特定实现的Task对象的execute方法。ComputeEngine执行每个客户端的任务，并将任务的execute方法的结果直接返回给客户端。

在 RMI 中传递对象

远程方法的参数或返回值几乎可以是任何类型，包括本地对象、远程对象和基本数据类型。更准确地说，只要实体是基本数据类型、远程对象或可序列化对象的实例，就可以将任何类型的实体传递给远程方法或从远程方法传递出来，这意味着它实现了接口java.io.Serializable。

一些对象类型不符合这些标准，因此无法传递给远程方法或从远程方法返回。其中大多数对象，如线程或文件描述符，封装的信息只在单个地址空间内有意义。许多核心类，包括java.lang和java.util包中的类，实现了Serializable接口。

关于如何传递参数和返回值的规则如下：

• 远程对象本质上是通过引用传递的。远程对象引用是一个存根，是一个客户端代理，实现了远程对象实现的完整远程接口集。

• 本地对象通过对象序列化进行复制传递。默认情况下，除了标记为static或transient的字段外，所有字段都会被复制。可以按类覆盖默认序列化行为。

通过引用传递远程对象意味着通过远程方法调用对对象状态所做的任何更改都会反映在原始远程对象中。当传递远程对象时，只有接收者可用的是远程接口。在实现类中定义的方法或类实现的非远程接口中定义的任何方法对接收者不可用。

例如，如果您要传递对ComputeEngine类实例的引用，则接收方只能访问计算引擎的executeTask方法。该接收方将看不到ComputeEngine构造函数、其main方法或其对java.lang.Object的任何方法的实现。

在远程方法调用的参数和返回值中，不是远程对象的对象是按值传递的。因此，在接收方的 Java 虚拟机中创建对象的副本。接收方对对象状态的任何更改仅反映在接收方的副本中，而不是发送方的原始实例中。发送方对对象状态的任何更改仅反映在发送方的原始实例中，而不是接收方的副本中。

实现服务器的main方法

ComputeEngine 实现中最复杂的方法是 main 方法。main 方法用于启动 ComputeEngine，因此需要进行必要的初始化和管理工作，以准备服务器接受来自客户端的调用。这个方法不是一个远程方法，这意味着它不能从不同的 Java 虚拟机中调用。由于 main 方法声明为 static，该方法根本不与对象关联，而是与类 ComputeEngine 关联。

创建和安装安全管理器

main 方法的第一个任务是创建和安装安全管理器，以保护来自 Java 虚拟机内运行的不受信任的下载代码对系统资源的访问。安全管理器确定下载的代码是否可以访问本地文件系统或执行任何其他特权操作。

如果一个 RMI 程序没有安装安全管理器，RMI 将不会为作为参数接收的对象或远程方法调用的返回值下载类（除了从本地类路径）。这个限制确保下载代码执行的操作受安全策略约束。

这是创建和安装安全管理器的代码：

if (System.getSecurityManager() == null) {
    System.setSecurityManager(new SecurityManager());
}

使远程对象对客户端可用

接下来，main 方法创建了一个 ComputeEngine 实例，并使用以下语句将其导出到 RMI 运行时：

Compute engine = new ComputeEngine();
Compute stub =
    (Compute) UnicastRemoteObject.exportObject(engine, 0);

静态的 UnicastRemoteObject.exportObject 方法导出提供的远程对象，以便它可以接收来自远程客户端的远程方法调用。第二个参数是一个 int，指定用于监听对象的传入远程调用请求的 TCP 端口。通常使用值零，指定使用匿名端口。实际端口将由 RMI 或底层操作系统在运行时选择。但也可以使用非零值指定用于监听的特定端口。一旦 exportObject 调用成功返回，ComputeEngine 远程对象就准备好处理传入的远程调用。

exportObject 方法返回导出的远程对象的存根。请注意，变量 stub 的类型必须是 Compute，而不是 ComputeEngine，因为远程对象的存根只实现导出的远程对象实现的远程接口。

exportObject 方法声明可以抛出 RemoteException，这是一个已检查的异常类型。main 方法使用其 try/catch 块处理此异常。如果不以这种方式处理异常，则必须在 main 方法的 throws 子句中声明 RemoteException。如果请求的端口已绑定到其他用途，尝试导出远程对象可能会抛出 RemoteException，例如，如果必要的通信资源不可用。

在客户端可以调用远程对象的方法之前，必须首先获取对远程对象的引用。获取引用可以通过与程序中获取任何其他对象引用的方式相同完成，例如通过将引用作为方法的返回值的一部分或作为包含这样一个引用的数据结构的一部分。

系统提供了一种特定类型的远程对象，即 RMI 注册表，用于查找其他远程对象的引用。RMI 注册表是一个简单的远程对象命名服务，使客户端能够通过名称获取对远程对象的引用。注册表通常仅用于定位 RMI 客户端需要使用的第一个远程对象。然后，该第一个远程对象可能提供支持以查找其他对象。

java.rmi.registry.Registry远程接口是在注册表中绑定（或注册）和查找远程对象的 API。java.rmi.registry.LocateRegistry类提供了用于在特定网络地址（主机和端口）合成远程引用到注册表的静态方法。这些方法创建包含指定网络地址的远程引用对象，而不执行任何远程通信。LocateRegistry还提供了用于在当前 Java 虚拟机中创建新注册表的静态方法，尽管此示例未使用这些方法。一旦远程对象在本地主机上的 RMI 注册表中注册，任何主机上的客户端都可以按名称查找远程对象，获取其引用，然后调用对象上的远程方法。注册表可以被所有运行在主机上的服务器共享，或者单个服务器进程可以创建和使用自己的注册表。

ComputeEngine类使用以下语句为对象创建名称：

String name = "Compute";

代码然后将名称添加到运行在服务器上的 RMI 注册表中。此步骤稍后通过以下语句完成：

Registry registry = LocateRegistry.getRegistry();
registry.rebind(name, stub);

此rebind调用会对本地主机上的 RMI 注册表进行远程调用。与任何远程调用一样，此调用可能导致抛出RemoteException，该异常由main方法末尾的catch块处理。

注意Registry.rebind调用的以下内容：

• LocateRegistry.getRegistry的无参数重载在本地主机上和默认注册表端口 1099 上合成对注册表的引用。如果注册表在除 1099 之外的端口上创建，则必须使用具有int参数的重载。

• 当对注册表进行远程调用时，传递的是远程对象的存根而不是远程对象本身的副本。远程实现对象，例如ComputeEngine的实例，永远不会离开它们被创建的 Java 虚拟机。因此，当客户端在服务器的远程对象注册表中执行查找时，会返回存根的副本。在这种情况下，远程对象实际上是通过（远程）引用而不是通过值传递的。

• 出于安全原因，应用程序只能在运行在同一主机上的注册表上bind、unbind或rebind远程对象引用。这种限制防止远程客户端删除或覆盖服务器注册表中的任何条目。然而，可以从任何主机（本地或远程）请求lookup。

一旦服务器向本地 RMI 注册表注册，它会打印一条消息，指示它已准备好开始处理调用。然后，main方法完成。不需要有一个线程等待来保持服务器处于活动状态。只要在另一个 Java 虚拟机中有对ComputeEngine对象的引用，无论是本地还是远程，ComputeEngine对象都不会被关闭或垃圾回收。因为程序在注册表中绑定了对ComputeEngine的引用，所以它可以从远程客户端，即注册表本身，访问。RMI 系统保持ComputeEngine的进程运行。ComputeEngine可用于接受调用，并且在其绑定从注册表中移除且没有远程客户端持有对ComputeEngine对象的远程引用时才会被回收。

在ComputeEngine.main方法中的最后一段代码处理可能出现的任何异常。代码中可能抛出的唯一已检查异常类型是RemoteException，可能是由UnicastRemoteObject.exportObject调用或注册表rebind调用引起的。在任何情况下，程序在打印错误消息后不能做更多事情，只能退出。在一些分布式应用中，可以从远程调用失败中恢复。例如，应用程序可以尝试重试操作或选择另一个服务器继续操作。

创建客户端程序

原文：docs.oracle.com/javase/tutorial/rmi/client.html

计算引擎是一个相对简单的程序：它运行交给它的任务。计算引擎的客户端更加复杂。客户端需要调用计算引擎，但也必须定义计算引擎执行的任务。

在我们的示例中，客户端由两个单独的类组成。第一个类ComputePi查找并调用Compute对象。第二个类Pi实现Task接口并定义计算引擎执行的工作。Pi类的工作是计算到某个小数位数的的值。

非远程Task接口定义如下：

package compute;

public interface Task<T> {
    T execute();
}

调用Compute对象方法的代码必须获取对该对象的引用，创建一个Task对象，然后请求执行该任务。稍后将显示任务类Pi的定义。使用单个参数构造Pi对象，该参数是所需结果的精度。任务执行的结果是表示计算到指定精度的的java.math.BigDecimal。

这里是client.ComputePi的源代码，主要客户端类：

package client;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.math.BigDecimal;
import compute.Compute;

public class ComputePi {
    public static void main(String args[]) {
        if (System.getSecurityManager() == null) {
            System.setSecurityManager(new SecurityManager());
        }
        try {
            String name = "Compute";
            Registry registry = LocateRegistry.getRegistry(args[0]);
            Compute comp = (Compute) registry.lookup(name);
            Pi task = new Pi(Integer.parseInt(args[1]));
            BigDecimal pi = comp.executeTask(task);
            System.out.println(pi);
        } catch (Exception e) {
            System.err.println("ComputePi exception:");
            e.printStackTrace();
        }
    }    
}

像ComputeEngine服务器一样，客户端首先安装安全管理器。这一步是必要的，因为接收服务器远程对象存根的过程可能需要从服务器下载类定义。为了让 RMI 下载类，必须启用安全管理器。

安装安全管理器后，客户端构造一个名称用于查找Compute远程对象，使用与ComputeEngine绑定其远程对象相同的名称。此外，客户端使用LocateRegistry.getRegistry API 合成服务器主机上注册表的远程引用。第一个命令行参数args[0]的值是Compute对象运行的远程主机的名称。然后客户端在注册表上调用lookup方法，通过名称在服务器主机的注册表中查找远程对象。使用的LocateRegistry.getRegistry重载版本具有单个String参数，返回命名主机和默认注册表端口 1099 的注册表引用。如果注册表在除 1099 之外的端口上创建，则必须使用具有int参数的重载。

接下来，客户端创建一个新的Pi对象，将第二个命令行参数args[1]解析为整数传递给Pi构造函数。这个参数指示计算中要使用的小数位数。最后，客户端调用Compute远程对象的executeTask方法。传入executeTask调用的对象返回一个BigDecimal类型的对象，程序将其存储在变量result中。最后，程序打印结果。下图描述了ComputePi客户端、rmiregistry和ComputeEngine之间消息流的过程。

Pi类实现了Task接口，并计算了的值到指定的小数位数。对于这个示例，实际算法并不重要。重要的是算法是计算密集型的，这意味着你希望它在一个能力强大的服务器上执行。

这是client.Pi的源代码，该类实现了Task接口：

package client;

import compute.Task;
import java.io.Serializable;
import java.math.BigDecimal;

public class Pi implements Task<BigDecimal>, Serializable {

    private static final long serialVersionUID = 227L;

    /** constants used in pi computation */
    private static final BigDecimal FOUR =
        BigDecimal.valueOf(4);

    /** rounding mode to use during pi computation */
    private static final int roundingMode = 
        BigDecimal.ROUND_HALF_EVEN;

    /** digits of precision after the decimal point */
    private final int digits;

    /**
     * Construct a task to calculate pi to the specified
     * precision.
     */
    public Pi(int digits) {
        this.digits = digits;
    }

    /**
     * Calculate pi.
     */
    public BigDecimal execute() {
        return computePi(digits);
    }

    /**
     * Compute the value of pi to the specified number of 
     * digits after the decimal point.  The value is 
     * computed using Machin's formula:
     *
     *          pi/4 = 4*arctan(1/5) - arctan(1/239)
     *
     * and a power series expansion of arctan(x) to 
     * sufficient precision.
     */
    public static BigDecimal computePi(int digits) {
        int scale = digits + 5;
        BigDecimal arctan1_5 = arctan(5, scale);
        BigDecimal arctan1_239 = arctan(239, scale);
        BigDecimal pi = arctan1_5.multiply(FOUR).subtract(
                                  arctan1_239).multiply(FOUR);
        return pi.setScale(digits, 
                           BigDecimal.ROUND_HALF_UP);
    }
    /**
     * Compute the value, in radians, of the arctangent of 
     * the inverse of the supplied integer to the specified
     * number of digits after the decimal point.  The value
     * is computed using the power series expansion for the
     * arc tangent:
     *
     * arctan(x) = x - (x³)/3 + (x⁵)/5 - (x⁷)/7 + 
     *     (x⁹)/9 ...
     */   
    public static BigDecimal arctan(int inverseX, 
                                    int scale) 
    {
        BigDecimal result, numer, term;
        BigDecimal invX = BigDecimal.valueOf(inverseX);
        BigDecimal invX2 = 
            BigDecimal.valueOf(inverseX * inverseX);

        numer = BigDecimal.ONE.divide(invX,
                                      scale, roundingMode);

        result = numer;
        int i = 1;
        do {
            numer = 
                numer.divide(invX2, scale, roundingMode);
            int denom = 2 * i + 1;
            term = 
                numer.divide(BigDecimal.valueOf(denom),
                             scale, roundingMode);
            if ((i % 2) != 0) {
                result = result.subtract(term);
            } else {
                result = result.add(term);
            }
            i++;
        } while (term.compareTo(BigDecimal.ZERO) != 0);
        return result;
    }
}

注意，所有可序列化的类，无论它们是否直接或间接实现了Serializable接口，都必须声明一个名为serialVersionUID的private static final字段，以确保在不同版本之间的序列化兼容性。如果该类之前没有发布过版本，则该字段的值可以是任何long值，类似于Pi使用的227L，只要该值在未来版本中一致使用即可。如果该类的先前版本已发布但没有显式声明serialVersionUID，但与该版本的序列化兼容性很重要，则必须使用先前版本的默认隐式计算值作为新版本显式声明的值。可以运行serialver工具来确定先前版本的默认计算值。

这个示例最有趣的特点是Compute实现对象在Pi对象作为参数传递给executeTask方法之前从不需要Pi类的定义。在那时，RMI 会将该类的代码加载到Compute对象的 Java 虚拟机中，调用execute方法，并执行任务的代码。结果，对于Pi任务来说是一个BigDecimal对象，会被传回给调用客户端，在那里用于打印计算结果。

供给的Task对象计算Pi值这一事实对于ComputeEngine对象来说并不重要。你也可以实现一个任务，比如通过使用概率算法生成一个随机素数。这个任务也会需要大量计算，因此是传递给ComputeEngine的一个很好的选择，但它需要非常不同的代码。当Task对象传递给Compute对象时，这段代码也可以被下载。就像在需要时引入计算的算法一样，生成随机素数的代码也会在需要时被引入。Compute对象只知道它接收到的每个对象都实现了execute方法。Compute对象不知道，也不需要知道实现的具体内容。

编译和运行示例

原文：docs.oracle.com/javase/tutorial/rmi/example.html

现在，计算引擎示例的代码已经编写完成，需要进行编译和运行。

编译示例程序

在这一部分，您将学习如何编译组成计算引擎示例的服务器和客户端程序。

运行示例程序

最后，你运行服务器和客户端程序，从而计算出的值。

编译示例程序

原文：docs.oracle.com/javase/tutorial/rmi/compiling.html

在一个真实的场景中，例如部署了像计算引擎这样的服务，开发人员可能会创建一个包含 Compute 和 Task 接口的 Java 存档（JAR）文件，供服务器类实现和客户端程序使用。接下来，一个开发人员，也许是接口 JAR 文件的相同开发人员，会编写 Compute 接口的实现，并将该服务部署在客户端可用的机器上。客户端程序的开发人员可以使用 JAR 文件中包含的 Compute 和 Task 接口，独立开发一个任务和客户端程序，使用 Compute 服务。

在本节中，您将学习如何设置 JAR 文件、服务器类和客户端类。您将看到客户端的 Pi 类将在运行时下载到服务器上。此外，Compute 和 Task 接口将在运行时从服务器下载到注册表中。

该示例将接口、远程对象实现和客户端代码分为三个包：

• compute – Compute 和 Task 接口

• engine – ComputeEngine 实现类

• client – ComputePi 客户端代码和 Pi 任务实现

首先，您需要构建接口 JAR 文件，以提供给服务器和客户端开发人员。

构建接口类的 JAR 文件

首先，您需要编译 compute 包中的接口源文件，然后构建一个包含它们类文件的 JAR 文件。假设用户 waldo 已经编写了这些接口，并将源文件放在 Windows 的目录 c:\home\waldo\src\compute 或 Solaris OS 或 Linux 的目录 /home/waldo/src/compute 中。给定这些路径，您可以使用以下命令编译接口并创建 JAR 文件：

微软 Windows：

cd c:\home\waldo\src
javac compute\Compute.java compute\Task.java
jar cvf compute.jar compute\*.class

Solaris OS 或 Linux：

cd /home/waldo/src
javac compute/Compute.java compute/Task.java
jar cvf compute.jar compute/*.class

jar 命令由于 -v 选项显示如下输出：

added manifest
adding: compute/Compute.class(in = 307) (out= 201)(deflated 34%)
adding: compute/Task.class(in = 217) (out= 149)(deflated 31%)

现在，您可以将 compute.jar 文件分发给服务器和客户端应用程序的开发人员，以便他们可以利用这些接口。

使用 javac 编译器构建服务器端或客户端类后，如果其中任何类需要由其他 Java 虚拟机动态下载，您必须确保它们的类文件放在网络可访问的位置。在本例中，对于 Solaris OS 或 Linux，这个位置是 /home/*user*/public_html/classes，因为许多 Web 服务器允许通过构造为 http://host/~*user*/ 的 HTTP URL 访问用户的 public_html 目录。如果您的 Web 服务器不支持这种约定，您可以在 Web 服务器的层次结构中使用不同的位置，或者您可以使用文件 URL。在 Solaris OS 或 Linux 上，文件 URL 的形式为 file:/home/*user*/public_html/classes/，在 Windows 上的形式为 file:/c:/home/*user*/public_html/classes/。您也可以根据需要选择另一种类型的 URL。

类文件的网络可访问性使得 RMI 运行时在需要时可以下载代码。RMI 不会为代码下载定义自己的协议，而是使用 Java 平台支持的 URL 协议（例如 HTTP）来下载代码。请注意，使用完整的重量级 Web 服务器来提供这些类文件是不必要的。例如，可以在 找到一个简单的 HTTP 服务器，提供了在 RMI 通过 HTTP 下载类所需的功能。

另请参阅 远程方法调用主页。

构建服务器类

engine 包仅包含一个服务器端实现类 ComputeEngine，这是远程接口 Compute 的实现。

假设开发 ComputeEngine 类的用户 ann 已经将 ComputeEngine.java 放在 Windows 的目录 c:\home\ann\src\engine 或 Solaris OS 或 Linux 的目录 /home/ann/src/engine 中。她正在部署供客户下载的类文件在她的 public_html 目录的子目录中，Windows 上为 c:\home\ann\public_html\classes 或 Solaris OS 或 Linux 上为 /home/ann/public_html/classes。这个位置可以通过一些 Web 服务器访问，如 http://*host*:*port*/~ann/classes/。

ComputeEngine 类依赖于 Compute 和 Task 接口，这些接口包含在 compute.jar JAR 文件中。因此，在构建服务器类时，您需要将 compute.jar 文件放在类路径中。假设 compute.jar 文件位于 Windows 的目录 c:\home\ann\public_html\classes 或 Solaris OS 或 Linux 的目录 /home/ann/public_html/classes 中。有了这些路径，您可以使用以下命令构建服务器类：

Microsoft Windows:

cd c:\home\ann\src
javac -cp c:\home\ann\public_html\classes\compute.jar
    engine\ComputeEngine.java

Solaris OS 或 Linux:

cd /home/ann/src
javac -cp /home/ann/public_html/classes/compute.jar
    engine/ComputeEngine.java

ComputeEngine的存根类实现了Compute接口，该接口引用了Task接口。因此，这两个接口的类定义需要对其他 Java 虚拟机（如注册表的 Java 虚拟机）可访问，以便存根能够接收。客户端 Java 虚拟机将已经在其类路径中包含了这些接口，因此实际上不需要下载它们的定义。public_html目录下的compute.jar文件可以起到这个作用。

现在，计算引擎已经准备好部署。你现在可以这样做，或者等到构建客户端之后再部署。

构建客户端类

client包含两个类，ComputePi，主要客户端程序，和Pi，客户端对Task接口的实现。

假设开发客户端类的用户jones已经将ComputePi.java和Pi.java放置在 Windows 系统的c:\home\jones\src\client目录下，或者 Solaris OS 或 Linux 系统的/home/jones/src/client目录下。他正在将计算引擎的类文件部署在他的public_html目录的子目录中，Windows 系统为c:\home\jones\public_html\classes，Solaris OS 或 Linux 系统为/home/jones/public_html/classes。这个位置可以通过一些 Web 服务器访问，如http://*host*:*port*/~jones/classes/。

客户端类依赖于Compute和Task接口，这些接口包含在compute.jar JAR 文件中。因此，在构建客户端类时，你需要将compute.jar文件放在类路径中。假设compute.jar文件位于 Windows 系统的c:\home\jones\public_html\classes目录下，或者 Solaris OS 或 Linux 系统的/home/jones/public_html/classes目录下。有了这些路径，你可以使用以下命令来构建客户端类：

Microsoft Windows：

cd c:\home\jones\src
javac -cp c:\home\jones\public_html\classes\compute.jar
    client\ComputePi.java client\Pi.java
mkdir c:\home\jones\public_html\classes\client
cp client\Pi.class
    c:\home\jones\public_html\classes\client

Solaris OS 或 Linux：

cd /home/jones/src
javac -cp /home/jones/public_html/classes/compute.jar
    client/ComputePi.java client/Pi.java
mkdir /home/jones/public_html/classes/client
cp client/Pi.class
    /home/jones/public_html/classes/client

只有Pi类需要放置在public_html\classes\client目录中，因为只有Pi类需要在计算引擎的 Java 虚拟机中可用以供下载。现在，你可以先运行服务器，然后再运行客户端。

运行示例程序

原文：docs.oracle.com/javase/tutorial/rmi/running.html

关于安全性的说明

服务器和客户端程序都安装了安全管理器。当您运行任一程序时，您需要指定一个安全策略文件，以便代码被授予其运行所需的安全权限。这是一个用于服务器程序的示例策略文件。

grant codeBase "file:/home/ann/src/" {
    permission java.security.AllPermission;
};

这是一个用于客户端程序的示例策略文件。

grant codeBase "file:/home/jones/src/" {
    permission java.security.AllPermission;
};

对于这两个示例策略文件，所有权限都授予程序本地类路径中的类，因为本地应用程序代码是受信任的，但不授予从其他位置下载的代码任何权限。因此，计算引擎服务器限制其执行的任务（其代码未知是否受信任且可能具有敌意）执行需要安全权限的任何操作。示例客户端的Pi任务不需要任何权限来执行。

在此示例中，服务器程序的策略文件名为server.policy，客户端程序的策略文件名为client.policy。

启动服务器

在启动计算引擎之前，您需要启动 RMI 注册表。RMI 注册表是一个简单的服务器端引导命名工具，使远程客户端能够获取对初始远程对象的引用。它可以通过rmiregistry命令启动。在执行rmiregistry之前，您必须确保您将运行rmiregistry的 shell 或窗口要么没有设置CLASSPATH环境变量，要么具有不包括您希望下载到远程对象的客户端的任何类路径的CLASSPATH环境变量。

要在服务器上启动注册表，请执行rmiregistry命令。此命令不会产生任何输出，并且通常在后台运行。在此示例中，注册表在主机mycomputer上启动。

Microsoft Windows（如果start不可用，请使用javaw）：

start rmiregistry

Solaris 操作系统或 Linux：

rmiregistry &

默认情况下，注册表在端口 1099 上运行。要在不同端口上启动注册表，请在命令行上指定端口号。不要忘记取消设置CLASSPATH环境变量。

Microsoft Windows：

start rmiregistry 2001

Solaris 操作系统或 Linux：

rmiregistry 2001 &

一旦注册表启动，你可以启动服务器。你需要确保compute.jar文件和远程对象实现类都在你的类路径中。当你启动计算引擎时，你需要使用java.rmi.server.codebase属性指定服务器类的网络访问位置。在这个例子中，要提供下载的服务器端类是Compute和Task接口，在用户ann的public_html\classes目录中的compute.jar文件中可用。计算引擎服务器在主机mycomputer上启动，与注册表启动的主机相同。

Microsoft Windows:

java -cp c:\home\ann\src;c:\home\ann\public_html\classes\compute.jar
     -Djava.rmi.server.codebase=file:/c:/home/ann/public_html/classes/compute.jar
     -Djava.rmi.server.hostname=mycomputer.example.com
     -Djava.security.policy=server.policy
        engine.ComputeEngine

Solaris OS 或 Linux:

java -cp /home/ann/src:/home/ann/public_html/classes/compute.jar
     -Djava.rmi.server.codebase=http://mycomputer/~ann/classes/compute.jar
     -Djava.rmi.server.hostname=mycomputer.example.com
     -Djava.security.policy=server.policy
        engine.ComputeEngine

上述java命令定义了以下系统属性：

• java.rmi.server.codebase属性指定了一个代码库 URL，从这个服务器可以下载源自*的类的定义。如果代码库指定了一个目录层次结构（而不是一个 JAR 文件），你必须在代码库 URL 的末尾包含一个斜杠。

• java.rmi.server.hostname属性指定了要放在此 Java 虚拟机中导出的远程对象存根中的主机名或地址。当客户端尝试通信远程方法调用时，客户端使用的值是主机名或地址。默认情况下，RMI 实现使用服务器的 IP 地址，如java.net.InetAddress.getLocalHost API 所示。然而，有时，这个地址对于所有客户端都不合适，一个完全合格的主机名会更有效。为了确保 RMI 使用一个对所有潜在客户端都可路由的主机名（或 IP 地址）作为服务器，设置java.rmi.server.hostname属性。

• java.security.policy属性用于指定包含您打算授予的权限的策略文件。

启动客户端

一旦注册表和计算引擎运行起来，你可以启动客户端，指定以下内容：

• 客户端提供其类（Pi类）的位置，使用java.rmi.server.codebase属性

• java.security.policy属性用于指定包含您打算授予各种代码片段的权限的安全策略文件

• 作为命令行参数，服务器的主机名（以便客户端知道在哪里找到Compute远程对象）和在计算中使用的小数位数

在另一台主机上启动客户端（例如名为mysecondcomputer的主机）如下：

Microsoft Windows:

java -cp c:\home\jones\src;c:\home\jones\public_html\classes\compute.jar
     -Djava.rmi.server.codebase=file:/c:/home/jones/public_html/classes/
     -Djava.security.policy=client.policy
        client.ComputePi mycomputer.example.com 45

Solaris OS 或 Linux:

java -cp /home/jones/src:/home/jones/public_html/classes/compute.jar
     -Djava.rmi.server.codebase=http://mysecondcomputer/~jones/classes/
     -Djava.security.policy=client.policy
        client.ComputePi mycomputer.example.com 45

注意，类路径是在命令行上设置的，以便解释器可以找到客户端类和包含接口的 JAR 文件。还要注意，java.rmi.server.codebase属性的值，指定一个目录层次结构，以斜杠结尾。

在启动客户端后，将显示以下输出：

3.141592653589793238462643383279502884197169399

以下图示说明了在程序执行期间rmiregistry、ComputeEngine服务器和ComputePi客户端获取类的位置。

当ComputeEngine服务器在注册表中绑定其远程对象引用时，注册表会下载存根类依赖的Compute和Task接口。这些类是从ComputeEngine服务器的 Web 服务器或文件系统下载的，具体取决于启动服务器时使用的代码库 URL 的类型。

因为ComputePi客户端在其类路径中同时具有Compute和Task接口的定义，它从其类路径加载它们的定义，而不是从服务器的代码库加载。

最后，当Pi对象在executeTask远程调用中传递给ComputeEngine对象时，Pi类被加载到ComputeEngine服务器的 Java 虚拟机中。Pi类是由服务器从客户端的 Web 服务器或文件系统加载的，具体取决于启动客户端时使用的代码库 URL 的类型。

教程：Java SE 中的安全功能

原文：docs.oracle.com/javase/tutorial/security/index.html

在本教程中，您将了解内置的 Java™安全功能如何保护您免受恶意程序的侵害。您将看到如何使用工具来控制对资源的访问，生成和检查数字签名，以及创建和管理用于签名生成和检查所需的密钥。您还将看到如何将加密服务（如数字签名生成和检查）整合到您的程序中。

Java 开发工具包（JDK™）提供的安全功能面向各种受众：

• 运行程序的用户：

  内置的安全功能可保护您免受恶意程序（包括病毒）的侵害，保护您文件的隐私和关于您的信息，并验证每个代码提供者的身份。当您需要时，您可以对应用程序和小程序进行安全控制。

• 开发人员：

  您可以使用 API 方法将安全功能整合到您的程序中，包括加密服务和安全检查。API 框架使您能够定义和整合自己的权限（控制对特定资源的访问）、加密服务实现、安全管理器实现和策略实现。此外，还提供了用于管理您信任的人的公钥/私钥对和公钥证书的类。

• 系统管理员、开发人员和用户：

  JDK 工具管理您的密钥库（密钥和证书的数据库）；为 JAR 文件生成数字签名，并验证这些签名的真实性和已签名内容的完整性；以及创建和修改定义安装安全策略的策略文件。

注意： 对于想要创建小程序和 Java Web 启动应用程序的开发人员，请参阅 Java 小程序以获取安全信息。

教程课程

  创建策略文件 展示了如何通过策略文件控制资源访问。有关策略配置文件的最新信息，请参阅策略指南 页面。

  快速浏览控制应用程序 在前一课程的基础上展示了资源访问的控制，例如对于在安全管理器下运行的应用程序，除非在策略文件中明确允许，否则不允许读取或写入文件等资源访问。

  用于安全代码和文件交换的 API 和工具使用定义了数字签名、证书和密钥库，并讨论了它们为何需要。它还回顾了适用于接下来三个课程的信息，这些课程通常需要使用工具或 API 生成签名、导出/导入证书等步骤。

  签署代码并授予权限展示了所有与安全相关的工具的使用。它展示了开发人员签署和分发代码供他人运行的步骤。本课程还展示了运行代码的人（或系统管理员）如何在策略文件中添加条目以授予代码所需的资源访问权限。

  文件交换展示了一个人使用工具签署重要文件，如合同，并导出与用于签署合同的私钥对应的公钥证书。然后本课程展示了另一个人如何导入证书并验证签名，该人收到了合同、签名和公钥证书。

  生成和验证签名逐步引导您通过一个示例，使用 JDK 安全 API 编写 Java 程序生成密钥，使用私钥为数据生成数字签名，并将公钥和签名导出到文件。然后示例展示了编写第二个程序，该程序可能预期在另一个人的计算机上运行，导入公钥并验证签名的真实性。最后，示例讨论了基本程序使用的方法的潜在弱点，并演示了可能的替代方法和提供和导入密钥的方法，包括在证书中。

  实现自己的权限演示了如何编写一个定义自己特殊权限的类。

更多信息

JDK 安全发布文档可以在安全指南页面找到。此索引页面列出了规范，提供了关于最新安全功能的详细信息，包括架构规范、使用指南、API 文档和工具文档。

教训：安全功能概述

原文：docs.oracle.com/javase/tutorial/security/overview/index.html

安全功能帮助您保护程序和数据免受伤害，保持数据受到保护和私密，并在安全意识的运行时环境中部署新应用程序。

Java 还提供了几个工具，帮助您管理对系统资源的访问；创建、存储和维护加密的公共和私有密码（密钥对）和证书；以及在部署过程中创建和签名 jar 文件。

注意： 要了解 Java SE 7 中支持的安全功能的简要概述，请参阅安全指南目录中的安全概述白皮书。

课程：创建策略文件

原文：docs.oracle.com/javase/tutorial/security/tour1/index.html

这节课展示了如何创建一个控制资源访问的策略文件。

本课程的步骤是：

• 设置策略文件以授予所需权限

设置策略文件以授予所需权限

原文：docs.oracle.com/javase/tutorial/security/tour1/step2.html

策略文件是一个 ASCII 文本文件，可以通过文本编辑器或本节中演示的图形化策略工具来编写。策略工具可以节省您的输入时间，消除您需要了解策略文件所需语法的需求，从而减少错误。

本课程使用策略工具创建名为 examplepolicy 的策略文件，在其中您将添加一个 策略条目，授予来自 examples 目录的代码写入权限。

按照以下步骤创建和修改您的新策略文件：

1. 启动策略工具

2. 授予所需权限

3. 保存策略文件

UNIX 用户注意事项： 这些步骤说明了如何为 Windows 系统创建策略文件。如果您在 UNIX 系统上工作，步骤完全相同。当文本中说要将策略文件存储在 C:\Test 目录中时，您可以将其存储在其他目录中。本课程中的示例假定您将其存储在 ~/test 目录中。

启动 Policy Tool

原文：docs.oracle.com/javase/tutorial/security/tour1/wstep1.html

要启动 Policy Tool，只需在命令行中输入以下内容：

policytool

这将打开 Policy Tool 窗口。

每次启动 Policy Tool 时，它会尝试从用户策略文件中填充此窗口中的策略信息。用户策略文件默认在您的主目录中命名为.java.policy。如果 Policy Tool 找不到用户策略文件，它会发出警告并显示一个空白的 Policy Tool 窗口（一个带有标题和按钮但没有数据的窗口），如下图所示。

然后，您可以选择打开现有的策略文件或创建新的策略文件。

第一次运行 Policy Tool 时，您会看到空白的 Policy Tool 窗口，因为用户策略文件尚不存在。您可以立即继续创建新的策略文件，如下一步所述。

授予所需权限

原文：docs.oracle.com/javase/tutorial/security/tour1/wstep2.html

要创建新条目，请在主策略工具窗口中单击 添加策略条目 按钮。这将显示如下图所示的策略条目对话框。

策略条目指定了来自特定代码源的一个或多个权限--来自特定位置（URL）的代码，由特定实体签名的代码，或两者兼有。

CodeBase 和 SignedBy 文本框指定您要授予权限的代码，这些权限将添加到文件中。

• CodeBase 值表示代码源位置；您授予来自该位置的代码的权限。空的 CodeBase 条目表示“任何代码”--代码的来源并不重要。

• SignedBy 值表示存储在密钥库中的证书的别名。该证书内的公钥用于验证代码上的数字签名。您授予由与别名指定的密钥库条目中的公钥对应的私钥签名的代码的权限。SignedBy 条目是可选的；省略它表示“任何签名者”--代码是否签名或由谁签名并不重要。

如果您同时拥有 CodeBase 和 SignedBy 条目，权限仅授予来自指定位置且由指定别名签名的代码。

您可以授予存储示例的位置（URL）的所有代码权限。

在策略条目对话框的 CodeBase 文本框中键入以下 URL：

https://docs.oracle.com/javase/tutorial/security/tour1/examples/

注意： 这是一个 URL。因此，它必须始终使用斜杠作为分隔符，而不是反斜杠。

将 SignedBy 文本框留空，因为您不需要代码签名。

注意： 要授予权限给任何代码（.class 文件），不仅仅是从先前指定的目录，而是从 security 目录及其子目录中，将以下 URL 键入 CodeBase 框中：

https://docs.oracle.com/javase/tutorial/security/

您已经指定了代码的来源（CodeBase），并且代码不需要签名（因为没有 SignedBy 值）。

您现在已经指定了此策略条目，因此在策略条目对话框中单击 完成 按钮。策略工具窗口现在包含代表策略条目的一行，显示 CodeBase 值。

注意： 我们将在下一课中授予此新策略条目的权限。

保存策略文件

原文：docs.oracle.com/javase/tutorial/security/tour1/wstep3.html

要保存您正在创建的新策略文件，请从文件菜单中选择另存为命令。这将显示另存为对话框。

在控制应用程序快速入门课程中的示例假设您将策略文件存储在C:驱动器上的Test目录中。

导航到Test目录。键入文件名examplepolicy，然后点击保存。

策略文件现在已保存，其名称和路径显示在标记为Policy File的文本框中。

通过从文件菜单中选择退出来退出策略工具。

课程：快速浏览控制应用程序

原文：docs.oracle.com/javase/tutorial/security/tour2/index.html

先决条件课程： 创建策略文件

本课程展示如何使用安全管理器为应用程序授予或拒绝对系统资源的访问权限。本课程还展示了资源访问，如读取或写入文件，对于使用安全管理器运行的应用程序，除非在策略文件中明确允许，否则是不允许的。

本课程的步骤为：

1. 观察应用程序自由

2. 查看如何限制应用程序

3. 设置策略文件以授予所需权限

4. 查看策略文件的效果

观察应用程序自由

原文：docs.oracle.com/javase/tutorial/security/tour2/step1.html

当应用程序运行时，不会自动安装安全管理器。在下一步中，您将看到如何将相同的安全策略应用于在本地文件系统上找到的应用程序和下载的沙箱小程序。但首先，让我们证明默认情况下未安装安全管理器用于应用程序，因此应用程序可以完全访问资源。

在您的计算机上创建一个名为GetProps.java的文件，可以通过复制或下载GetProps.java源代码来实现。

本课程中的示例假定您将GetProps.java放在C:\Test目录中（如果您使用 Windows 系统）或在 UNIX 上的~/test目录中。

如您所见，如果检查源文件，此程序尝试获取（读取）属性值，其名称为"os.name"，"java.version"，"user.home"和"java.home"。

现在编译并运行GetProps.java。您应该看到类似以下的输出：

C:\TEST>java GetProps
    About to get os.name property value
      The name of your operating system is:
      Windows XP
    About to get java.version property value
      The version of the JVM you are running is:
      1.6.0
    About to get user.home property value
      Your user home directory is: C:\WINDOWS
    About to get java.home property value
      Your JRE installation directory is:
      C:\JDK7.0.0\JRE

这表明应用程序被允许访问所有属性值，如下图所示。

查看如何限制应用程序

原文：docs.oracle.com/javase/tutorial/security/tour2/step2.html

正如您在上一步骤中看到的，当 Java 运行时运行一个应用程序时，它不会自动安装安全管理器。要将相同的安全策略应用于本地文件系统中找到的应用程序和下载的沙箱小程序，您可以使用新的-Djava.security.manager命令行参数调用解释器。

要使用默认安全管理器执行GetProps应用程序，请键入以下内容：

java -Djava.security.manager GetProps

以下是程序的输出：

C:\TEST>java -Djava.security.manager GetProps
    About to get os.name property value
      The name of your operating system is: SunOS
    About to get java.version property value
      The version of the JVM you are running is: 1.7.0
    About to get user.home property value
    Caught exception java.security.AccessControlException:
        access denied ("java.util.PropertyPermission"
        "user.home" "read")

过程如下图所示。

安全敏感属性

Java 运行时默认加载默认策略文件，并授予所有代码访问一些常用属性（如"os.name"和"java.version"）的权限。这些属性不是安全敏感的，因此授予这些权限通常不会构成安全风险。

GetProps尝试访问的其他属性"user.home"和"java.home"不在系统策略文件授予读取权限的属性之列。因此，一旦GetProps尝试访问这些属性中的第一个（"user.home"）时，安全管理器会阻止访问并报告AccessControlException。此异常表示当前生效的策略，其中包含一个或多个策略文件中的条目，不允许读取"user.home"属性的权限。

注意： 代码始终可以从与其所在目录相同的目录（或该目录的子目录）中读取文件；它不需要明确的权限来这样做。代码还可以获取其执行目录的路径名，而此路径名可能包含敏感信息。例如，如果代码是从主目录（或主目录的子目录）执行的，则路径名可能会显示当前用户的名称。

默认策略文件

默认策略文件，java.policy 默认位于：

• Windows：*java.home*\lib\security\java.policy

• UNIX：*java.home*/lib/security/java.policy

请注意，java.home代表"java.home"属性的值，该属性是指定 JRE 安装目录的系统属性。因此，如果 JRE 安装在 Windows 上名为C:\jdk\jre，在 UNIX 上名为/jdk/jre的目录中，则系统策略文件位于：

• Windows：C:\jdk\jre\lib\security\java.policy

• UNIX：/jdk/jre/lib/security/java.policy

设置策略文件以授予所需的权限

原文：docs.oracle.com/javase/tutorial/security/tour2/step3.html

这一步使用策略工具实用程序打开名为examplepolicy的策略文件，该文件是在创建策略文件课程中创建的。您将添加一个新的策略条目，允许来自存储GetProps.class的目录的代码读取"user.home"和"java.home"属性值，如下图所示。

步骤如下。

1. 打开策略文件

2. 授予所需的权限

3. 保存策略文件

UNIX 用户注意： 本说明演示了为 Windows 系统创建策略文件。如果您在 UNIX 系统上工作，则步骤完全相同，只有以下区别。

• 您从您的主目录中的test目录中检索examplepolicy文件。

• 对于授予所需权限的步骤中的CodeBase URL，您可以将file:${user.home}/test/替换为file:/C:/Test/。或者，您可以直接指定您的主目录，而不是引用"user.home"属性，如file:/home/jones/test/。

打开策略文件

原文：docs.oracle.com/javase/tutorial/security/tour2/wstep1.html

通过在命令行中键入以下内容启动策略工具：

policytool

这将打开策略工具窗口。要打开examplepolicy策略文件，请在文件菜单中使用打开命令。这将显示一个打开对话框，您可以使用它来浏览目录结构，直到找到包含策略文件的目录（即C:\Test\目录）。

选择该目录中的examplepolicy文件，然后选择打开按钮。

这将从examplepolicy策略文件中填充策略工具窗口中的信息，包括策略文件名和由创建策略文件课程创建的CodeBase部分的策略条目。

授予所需权限

原文：docs.oracle.com/javase/tutorial/security/tour2/wstep2.html

要授予GetProps应用程序读取"user.home"和"java.home"属性值的权限，必须创建一个授予这些权限的策略条目。在主策略工具窗口中选择添加策略条目按钮。这将弹出策略条目对话框，如下图所示。

在CodeBase文本框中键入以下文件 URL，以指示您将授予来自指定目录中的代码的权限，该目录是存储GetProps.class的目录。

file:/C:/Test/

（注意，这是一个 URL，因此必须始终使用斜杠，而不是反斜杠。）

将SignedBy文本框留空，因为您不需要代码签名。

要添加读取"user.home"属性值的权限，请选择添加权限按钮。这将弹出权限对话框。

执行以下操作。

1. 从权限下拉列表中选择属性权限。完整的权限类型名称（java.util.PropertyPermission）现在出现在下拉列表右侧的文本框中。

2. 在标有目标名称列表右侧的文本框中键入以下内容，以指定"user.home"属性：

   user.home
   
   

3. 通过从操作下拉列表中选择读取选项来指定读取此属性的权限。

现在权限对话框如下所示。

选择确定按钮。新权限将出现在策略条目窗口中的一行中。

要添加读取"java.home"属性值的权限，请再次选择添加权限按钮。在权限对话框中，执行以下操作：

1. 从权限下拉列表中选择属性权限。

2. 在标有目标名称列表右侧的文本框中键入以下内容，以指定"java.home"属性：

   java.home
   
   

3. 通过从操作下拉列表中选择读取选项来指定读取此属性的权限。

现在权限对话框如下所示。

选择确定按钮。新权限和先前添加的权限将出现在策略条目窗口中的行中，如下图所示。

您现在已经完成了指定此策略条目的操作，因此在策略条目对话框中选择完成按钮。策略工具窗口现在包括表示新策略条目的一行，显示CodeBase值。

保存策略文件

原文：docs.oracle.com/javase/tutorial/security/tour2/wstep3.html

要保存策略文件，只需在文件菜单中选择保存命令。

然后从文件菜单中选择退出命令退出策略工具。

查看策略文件效果

原文：docs.oracle.com/javase/tutorial/security/tour2/step4.html

现在您已经向examplepolicy策略文件添加了所需的策略条目，当您使用安全管理器执行GetProps应用程序时，您应该能够读取指定的属性，如下图所示。

每当您运行一个小程序，或者一个带有安全管理器的应用程序时，默认加载和使用的策略文件是位于以下目录之一的"安全属性文件"中指定的文件。

• Windows：*java.home*\lib\security\java.security

• UNIX：*java.home*/lib/security/java.security

注意： java.home环境变量指定了 JRE 安装的目录。

策略文件的位置是指定为属性值的形式为：

policy.url.*n*

其中变量n表示一个数字。请在以下形式的行中指定每个属性值：

policy.url.*n*=*URL*

其中URL是 URL 规范。例如，默认的策略文件，有时分别称为系统和用户策略文件，在安全属性文件中定义为

policy.url.1=file:${java.home}/lib/security/java.policy
policy.url.2=file:${user.home}/.java.policy

注意： 在安全属性文件中使用${propName}符号是指定属性值的一种方式。因此${java.home}将在运行时被实际的"java.home"属性值替换，该属性值指示了 JRE 安装的目录，${user.home}将被"user.home"属性的值替换，例如，C:\Windows。

有两种可能的方式可以使examplepolicy文件被视为整体策略的一部分，除了在安全属性文件中指定的策略文件。您可以通过将附加策略文件指定为传递给运行时系统的属性，如方法 1 中所述，或者在安全属性文件中添加指定附加策略文件的行，如方法 2 中所讨论的那样。

方法 1

您可以使用-Djava.security.policy解释器命令行参数来指定一个应该在安全属性文件中指定的策略文件之外使用的策略文件。

确保您在包含GetProps.class和examplepolicy的目录中。然后，您可以运行GetProps应用程序，并通过在一行上键入以下命令将examplepolicy策略文件传递给解释器：

java -Djava.security.manager -Djava.security.policy=examplepolicy GetProps

注意： 请记住，为了使用安全管理器运行应用程序，需要-Djava.security.manager，如查看如何限制应用程序步骤中所示。

该程序报告了"user.home"和"java.home"属性的值。

如果应用程序仍然报告错误，则策略文件中存在问题。使用策略工具检查您在设置策略文件以授予所需权限步骤中创建的策略条目。

方法 2

您可以在安全属性文件中指定多个 URL，所有指定的策略文件都将被加载。因此，让java解释器考虑您的examplepolicy文件的策略条目的一种方法是在安全属性文件中添加指定该策略文件的条目。

重要提示： 如果您正在运行自己的 JDK 副本，您可以轻松编辑安全属性文件。如果您正在运行与其他用户共享的版本，只有在具有写入权限或在适当时向系统管理员请求修改文件时，您才能修改系统范围的安全属性文件。但是，对于本教程测试，您可能不应该对系统范围的策略文件进行修改。我们建议您只需阅读以下内容，看看如何操作，或者安装您自己的私人版本的 JDK 用于教程课程。

要修改安全属性文件，请在适合编辑 ASCII 文本文件的编辑器中打开它。然后在包含policy.url.2的行之后添加以下行：如果您在 Windows 系统上，请添加

policy.url.3=file:/C:/Test/examplepolicy

如果您在 UNIX 系统上，请添加

policy.url.3=file:${user.home}/test/examplepolicy

在 UNIX 系统上，您还可以显式指定您的主目录，如下所示

policy.url.3=file:/home/jones/test/examplepolicy

运行应用程序

现在，您应该能够成功运行以下内容。

java -Djava.security.manager GetProps

与方法 1 一样，如果仍然出现安全异常，则策略文件中存在问题。使用策略工具检查您在设置策略文件以授予所需权限步骤中创建的策略条目。然后修复任何拼写错误或其他错误。

重要提示： 除非您正在运行本教程课程，否则无需包含examplepolicy文件。要排除此文件，请打开安全属性文件并删除刚刚添加的行。

在继续之前，您可能希望删除您刚刚在安全属性文件中添加的行（或将其注释掉），因为您可能不希望在不运行教程课程时包含examplepolicy文件。

课程：用于安全代码和文件交换的 API 和工具使用

原文：docs.oracle.com/javase/tutorial/security/sigcert/index.html

本课程解释了为什么需要数字签名、证书和密钥库。该课程还比较了使用这些工具与 JDK 安全 API 生成签名的情况。这些工具的使用在接下来的两节课中进行演示，签署代码并授予权限 和 文件交换。API 的使用在 生成和验证签名 课程中进行演示。

本课程包含以下部分

• 代码和文档安全

• 工具和 API 注释

• 使用 JDK 安全 API 签署文档

• 使用工具签署代码或文档

代码和文档安全

如果您通过电子方式向某人发送重要文件（或文件）、或要运行的小程序或应用程序，接收方需要一种方法来验证文件或代码是否来自您，并且在传输过程中未被修改（例如，被恶意用户拦截）。数字签名、证书和密钥库都有助于确保您发送的文件的安全性。

数字签名

使用数字签名的基本思想如下。

1. 您使用您可以通过keytool或安全 API 方法生成的私钥对文档或代码进行“签名”。也就是说，您使用jarsigner工具或安全 API 方法为文档或代码生成数字签名。

2. 您将签名的文档发送给接收方。

3. 您还向接收方提供您的公钥。这个公钥对应于您最初用于生成签名的私钥。

4. 接收方使用您的公钥来验证您的文件是否来自您，并且在到达之前未被修改。

接收方需要确保您的公钥本身是真实的，然后才能使用它来验证您的签名是否真实。因此，您通常会提供一个包含您的公钥以及可以为您的密钥真实性作证的证书颁发机构的密钥的证书。有关详细信息，请参见下一节。

有关签名和验证术语和概念的更多信息，以及有关好处的进一步解释，请参见“JAR 文件打包程序”课程的 签署 JAR 文件 部分。

证书

证书包含：

• 一个公钥。

• 证书的“显著名称”信息是指证书的实体（个人、公司等）的信息。这个实体被称为证书主体或所有者。显著名称信息包括以下属性（或其子集）：实体的名称、组织单位、组织、城市或地点、州或省和国家代码。

• 数字签名。证书由一个实体，颁发者，签名，以证明封闭的公钥是另一个实体，所有者的实际公钥。

• 签名者（颁发者）的显著名称信息。

收件人检查证书是否有效的一种方法是使用颁发者（签名者）的公钥验证其数字签名。该密钥本身可以存储在另一个证书中，该证书的签名也可以通过使用下一个证书的颁发者的公钥进行验证，而该密钥可能也存储在另一个证书中，依此类推。当你到达一个你已经信任的公钥并用它来验证相应证书上的签名时，你可以停止检查。

如果收件人无法建立信任链，那么他/她可以使用 keytool 的 -import 或 -printcert 命令计算证书的指纹。指纹是一个相对较短的数字，可以唯一且可靠地识别证书。（从技术上讲，指纹是证书信息的哈希值，使用消息摘要函数。）然后，收件人可以打电话给证书所有者，并将收到的证书的指纹值与发送的证书进行比较。如果指纹相同，则证书相同。

因此，你可以确保证书在传输过程中没有被修改。在处理证书时的另一个潜在不确定性是发送者的身份。有时证书是自签名的，即使用与证书中的公钥对应的私钥签名；颁发者与主体相同。

自签名证书对于开发和测试应用程序很有用。然而，在部署给用户之前，从一个受信任的第三方（称为认证机构（CA））那里获取证书是必要的。为此，你向 CA 发送一个自签名证书签名请求（CSR）。CA 验证 CSR 上的签名和你的身份，可能通过检查你的驾驶执照或其他信息。然后，CA 通过使用自己的（CA 的）私钥签发证书并为你作为公钥所有者背书。任何信任颁发 CA 的公钥的人现在都可以验证证书上的签名。在许多情况下，颁发 CA 本身可能有一个来自 CA 层次结构更高层的证书，导致证书链。

你信任的实体的证书通常被导入到你的密钥库中作为“受信任的证书”。每个这样的证书中的公钥可以用来验证使用相应私钥生成的签名。这样的验证可以通过以下方式完成：

• jarsigner 工具（如果文档/代码和签名出现在一个 JAR 文件中），

• API 方法，或

• 运行时系统，在尝试访问资源时，如果策略文件指定允许代码尝试访问的资源访问，且其签名是真实的，则允许访问。代码的类文件和签名必须在一个 JAR 文件中。

如果您要向他人发送签名的代码或文档，则需要向他们提供包含与用于签署代码/文档的私钥对应的公钥的证书。keytool 的 -export 命令或 API 方法可以将您的证书从密钥库导出到文件中，然后可以将该文件发送给需要的任何人。接收证书的人可以将其导入到密钥库中作为受信任的证书，例如使用 API 方法或 keytool 的 -import 命令。

如果您使用 jarsigner 工具为 JAR 文件生成签名，则该工具会从您的密钥库中检索您的证书及其支持的证书链。然后，该工具将它们与签名一起存储在 JAR 文件中。

密钥库

私钥及其相关的公钥证书存储在受密码保护的数据库中，称为密钥库。密钥库可以包含两种类型的条目：上述讨论的受信任证书条目，以及密钥/证书条目，每个条目包含一个私钥和相应的公钥证书。密钥库中的每个条目都由一个别名标识。

密钥库所有者可以在密钥库中拥有多个密钥，通过不同的别名访问。别名通常以密钥库所有者在其中使用相关密钥的特定角色命名。别名也可以标识密钥的用途。例如，别名 signPersonalEmail 可能用于标识一个用于签署个人电子邮件的密钥库条目，而别名 signJarFiles 可能用于标识一个用于签署 JAR 文件的条目。

keytool 工具可用于

• 创建私钥及其相关的公钥证书

• 发出证书请求，然后将其发送给适当的认证机构

• 导入从您联系的认证机构获得的证书回复

• 导入属于其他方的公钥证书作为受信任的证书

• 管理您的密钥库

API 方法也可用于访问和修改密钥库。

工具和 API 注意事项

请注意以下与数字签名相关的工具和 API 使用。

• 您可以使用 JDK 安全 API、工具或组合来生成密钥和签名，并导入证书。您可以使用这些 API 或工具功能与他人安全地交换文档。

• 要使用工具进行文档交换，文档必须放在 JAR（Java ARchive）文件中，可以通过jar工具创建。JAR 文件是将多个文件封装在一个位置的好方法。当文件被“签名”时，生成的数字签名字节需要存储在某个地方。当 JAR 文件被签名时，签名可以放在 JAR 文件本身中。这就是当您使用jarsigner工具对 JAR 文件进行签名时发生的情况。

• 如果您正在创建将要签署的小程序代码，它需要放在 JAR 文件中。如果您正在创建可能受到安全管理器限制的应用程序代码，同样需要放在 JAR 文件中。您需要 JAR 文件的原因是，当策略文件指定由特定实体签名的代码允许一个或多个操作，例如特定文件读取或写入时，预期代码来自已签名的 JAR 文件。（术语“已签名代码”是指“出现在已签名 JAR 文件中的类文件中的代码”的简称。）

• 为了使运行时系统检查代码签名，将运行代码的人/组织首先需要将验证用于签署代码的私钥对应的公钥的证书导入其密钥库中。

• 为了使jarsigner工具验证 JAR 文件签名的真实性，首先需要将接收到的 JAR 文件的人/组织导入其密钥库中，以验证与用于签署代码的私钥对应的公钥的证书。

• 目前还没有用于证书创建的 API。

使用 JDK 安全 API 签署文档

生成和验证签名展示了如何使用 JDK 安全 API 签署文档。该课程展示了由拥有原始文档的人执行的一个程序会做什么

• 生成密钥，

• 使用私钥为数据生成数字签名，然后

• 导出公钥和签名到文件。

然后展示了另一个程序的示例，由数据、签名和公钥的接收者执行。展示了该程序如何

• 导入公钥

• 验证签名的真实性。

本课程还展示了导入和提供密钥的替代方法，包括证书。

使用工具签署代码或文档

签署代码并授予权限课程展示了如何使用 Java 安全工具将您的代码放入 JAR 文件中，对其进行签名，并导出您的公钥。然后展示了您的接收方如何使用相同的 Java 工具导入您的公钥证书，然后向策略文件添加条目，以授予您的代码访问受接收方控制的系统资源所需的权限。

文件交换课程教你如何使用 Java 安全工具签署文档，然后使用keytool导出公钥证书，对应于使用keytool签署该文档的私钥。然后它展示了如何接收者可以通过安装您的公钥证书并使用jarsigner工具验证您的签名。

这两个课程有很多共同之处。在两种情况下，发送代码或文档的前两个步骤是：

• 使用jar工具创建包含文档或类文件的 JAR 文件。

• 生成密钥（如果尚不存在），使用keytool的-genkey命令。

接下来的两个步骤是可选的：

• 使用keytool的-certreq命令；然后将生成的证书签名请求发送给认证机构（CA），如 VeriSign。

• 使用keytool的-import命令导入 CA 的响应。

接下来的两个步骤是必需的：

• 使用之前生成的私钥，使用jarsigner工具对 JAR 文件进行签名。

• 使用keytool的-export命令导出公钥证书。然后将签名的 JAR 文件和证书提供给接收者。

在两种情况下，签署的 JAR 文件和证书的接收者应该使用keytool的-import命令将证书导入为受信任的证书。keytool将尝试从要导入的证书到密钥库中已受信任的证书构建信任链。如果失败，keytool将显示证书指纹并提示您进行验证。

如果发送的是代码，则接收者还需要修改策略文件以允许由导入证书中的公钥对应的私钥签名的代码访问所需资源。可以使用策略工具来执行此操作。

如果发送的是一个或多个文档，则接收者需要使用jarsigner工具验证 JAR 文件签名的真实性。

本课程讨论了两个可选步骤。其他步骤在接下来的两个课程中涵盖，签署代码并授予权限和文件交换。

为公钥证书生成证书签名请求（CSR）

当使用keytool生成公私钥对时，它会创建一个包含私钥和公钥的自签名证书的密钥库条目。（即，证书使用相应的私钥进行签名。）这在开发和测试应用程序时是足够的。

然而，如果证书由认证机构（CA）签名，其他人更有可能信任该证书。要获得由 CA 签名的证书，首先需要生成证书签名请求（CSR），通过类似以下命令：

keytool -certreq -alias *alias* -file *csrFile* 

这里alias用于访问包含私钥和公钥证书的密钥库条目，csrFile指定此命令创建的 CSR 使用的名称。

然后，你将此文件提交给 CA，如 VeriSign, Inc.。CA 对你（请求者/"主体"）进行验证，然后签署并返回一个验证你的公钥的证书。通过签署证书，CA 保证你是公钥的所有者。

在某些情况下，CA 会返回一系列证书，每个证书都用于验证链中前一个证书签发者的公钥。

导入来自 CA 的响应

在向认证机构（CA）提交证书签名请求（CSR）后，你需要通过导入 CA 返回给你的证书（或证书链）来用证书链替换密钥库中的原始自签名证书。

但首先，你需要在你的密钥库中（或下面描述的cacerts密钥库文件中）有一个"受信任证书"条目，用于验证CA的公钥。有了这样的条目，可以验证 CA 对证书的签名。也就是说，可以验证 CA 对证书的签名，或者验证 CA 发送给你作为 CSR 响应中的最终证书链上的最终证书的签名。

从 CA 导入证书作为"受信任证书"

在导入来自 CA 的证书回复之前，你需要在你的密钥库或cacerts文件中拥有一个或多个"受信任证书"。

• 如果证书回复是一个证书链，你只需要链中的顶层证书 -- "根" CA 证书，用于验证该 CA 的公钥。

• 如果证书回复是单个证书，你需要签发它的 CA 的证书。如果该证书不是自签名的，你需要其签发者的证书，依此类推，直到自签名的"根" CA 证书。

cacerts文件代表一个系统范围的带有 CA 证书的密钥库。该文件位于 JRE 安全属性目录*java.home*/lib/security中，其中java.home是 JRE 安装目录。

重要提示：验证你的cacerts文件

由于你信任cacerts文件中的 CA 作为签署和颁发证书给其他实体的实体，你必须仔细管理cacerts文件。cacerts文件应只包含你信任的 CA 的证书。你有责任验证cacerts文件中捆绑的受信任根 CA 证书，并做出自己的信任决定。要从cacerts文件中删除一个不受信任的 CA 证书，使用keytool命令的删除选项。你可以在 JRE 安装目录中找到cacerts文件。如果没有权限编辑此文件，请联系系统管理员。

cacerts文件包含许多受信任的 CA 证书。如果您将您的 CSR 发送给了这些受信任的供应商之一（比如 VeriSign），您就不需要将供应商的根证书作为受信任证书导入到您的密钥库中；您可以继续到下一个部分，查看如何从 CA 导入证书回复。

从 CA 获得的证书通常是自签名的或者由另一个 CA 签名的，此时您还需要一个证书来验证该 CA 的公钥。假设 ABC 公司是一个 CA，并且您获得了一个名为ABCCA.cer的文件，据称是来自 ABC 公司的自签名证书，用于验证该 CA 的公钥。

在将证书导入为“受信任”证书之前，请务必确保证书是有效的！首先查看它（使用keytool的-printcert命令或者keytool的-import命令，不带-noprompt选项），并确保显示的证书指纹与预期的一致。您可以联系发送证书的人，并将您看到的指纹与他们展示的或者安全的公钥存储库展示的指纹进行比较。只有当指纹相等时，才能保证证书在传输过程中没有被替换为其他人（例如，攻击者）的证书。如果发生这样的攻击，并且您在导入证书之前没有检查证书，那么您将信任攻击者签署的任何内容。

如果您相信该证书是有效的，您可以通过类似以下命令将其添加到您的密钥库中：

keytool -import -alias *alias* -file ABCCA.cer -keystore *storefile* 

此命令在密钥库中创建一个名为storefile指定的“受信任证书”条目。该条目包含来自文件ABCCA.cer的数据，并分配指定的别名。

从 CA 导入证书回复

一旦您已经导入了所需的受信任证书，就像前一节中描述的那样，或者它们已经存在于您的密钥库中或者在cacerts文件中，您可以导入证书回复，从而用证书链替换您的自签名证书。这个链将是 CA 对您的请求的回复中返回的（如果 CA 的回复是一个链）或者通过使用证书回复和已经在密钥库中或者cacerts密钥库文件中可用的受信任证书构建的（如果 CA 的回复是一个单一证书）。

举例来说，假设您将您的证书签名请求发送给了 VeriSign。然后您可以通过以下方式导入回复，假设返回的证书在certReplyFile指定的文件中：

keytool -import -trustcacerts
    -keystore *storefile*
    -alias *alias* 
    -file *certReplyFile* 

在一行上输入此命令。

证书回复通过使用密钥库中的受信任证书进行验证，并可选择使用cacerts密钥库文件中配置的证书进行验证（如果指定了-trustcacerts选项）。每个链中的证书都会被验证，使用链中下一级别的证书。您只需要信任链中顶级的“根”CA 证书。如果您尚未信任顶级证书，keytool将显示该证书的指纹，并询问您是否要信任它。

指定（通过别名）条目的新证书链将替换与该条目关联的旧证书（或链）。只有在提供有效的keypass，用于保护条目私钥的密码时，才能替换旧链。如果未提供密码，并且私钥密码与密钥库密码不同，则会提示用户输入。

关于生成证书签名请求（CSR）和导入证书回复的更详细信息，请参阅keytool文档：

• 带有 Windows 示例的 keytool 文档

• 带有 UNIX 示例的 keytool 文档

课程：签署代码并授予权限

原文：docs.oracle.com/javase/tutorial/security/toolsign/index.html

本课程展示如何使用keytool、jarsigner、策略工具和jar将文件放入 JAR（Java ARchive）文件，以便后续由jarsigner工具进行签名。

本课程分为两部分。首先，您将创建和部署一个应用程序。其次，您将作为签名应用程序的接收者。

以下是创建和部署应用程序的步骤：

注意： 为方便起见，您假装是一个名为 Susan Jones 的用户/开发者。您需要在生成密钥时定义 Susan Jones。

• 将包含应用程序的 Java 类文件放入 JAR 文件中

• 对 JAR 文件进行签名

• 导出与用于签署 JAR 文件的私钥对应的公钥证书

以下是向应用程序授予权限的步骤

注意： 为方便起见，您假装是一个名为 Ray 的用户。

• 您可以看到，当在安全管理器下运行时，签名应用程序通常无法读取文件。

• 使用keytool将证书导入 Ray 的密钥库中，别名为susan

• 使用策略工具在 Ray 的策略文件中创建一个条目，以允许由susan签名的代码读取指定文件。

• 最后，您将看到在安全管理器下运行的应用程序现在可以读取文件，因为已经被授予了相应的权限。

有关数字签名、证书、密钥库和工具的更多信息，请参阅用于安全代码和文件交换的 API 和工具使用课程。

重要： 您需要在存储示例应用程序的目录中执行本课程中的任务，但应将应用程序所需的数据文件存储在不同的目录中。本教程中的所有示例都假定您正在C:\Test目录中工作，并且数据文件位于C:\TestData目录中。

如果您在 UNIX 系统上工作，请用您自己的目录名称替换。

以下是步骤：

• 代码签署者的步骤

• 代码接收者的步骤

Code Signer 的步骤

原文：docs.oracle.com/javase/tutorial/security/toolsign/signer.html

Code Signer 执行以下步骤：

1. 下载并尝试示例应用程序。

2. 创建包含类文件的 JAR 文件，使用jar工具。

3. 生成密钥（如果尚不存在），使用keytool的-genkey命令。

   ---

   可选步骤 为公钥证书生成证书签名请求（CSR），并导入认证机构（CA）的响应。为简单起见（并且因为你只是假装是苏珊·琼斯），这一步被省略了。有关更多信息，请参阅为公钥证书生成证书签名请求（CSR）。

   ---

4. 对 JAR 文件进行签名，使用jarsigner工具和私钥。

5. 导出公钥证书，使用keytool的-export命令。然后将签名的 JAR 文件和证书提供给接收者雷。

下载并尝试示例应用程序

原文：docs.oracle.com/javase/tutorial/security/toolsign/step1.html

本课程使用我们提供给您的一个简单应用程序。

1. 通过复制或下载Count.java源代码，在本地计算机上创建一个名为Count.java的文件。本课程中的示例假定您将count放在C:\Test目录中。

2. count应用程序需要访问包含其将处理的数据的文本文件。下载一个示例数据文件，或使用任何其他方便的文本文件作为数据。

   ---

   重要：将数据文件放入一个不同于包含已下载count类文件的目录中。我们建议使用C:\TestData\data。

   在本课程的后面部分，您将看到在安全管理器下运行的应用程序除非有明确的权限，否则无法读取文件。但是，应用程序始终可以从相同目录（或子目录）中读取文件。它不需要明确的权限。

   ---

3. 编译然后运行Count应用程序以查看其功能。

   当您运行count应用程序时，您需要指定（作为参数）要读取的文件的路径名。

   java Count C:\TestData\data

这里是一个示例运行：

    C:\Test>java Count C:\TestData\data
    Counted 65 chars.

创建一个包含类文件的 JAR 文件

原文：docs.oracle.com/javase/tutorial/security/toolsign/step2.html

接下来，在命令窗口中输入以下内容，创建一个包含Count.class文件的 JAR 文件：

jar cvf Count.jar Count.class

这将创建一个名为Count.jar的 JAR 文件，并将Count.class文件放入其中。

生成密钥

原文：docs.oracle.com/javase/tutorial/security/toolsign/step3.html

如果代码签名者尚未拥有适合签署代码的私钥，必须首先生成该私钥，以及一个相应的公钥，供代码接收方的运行时系统用于验证签名。

由于这节课假设你还没有这样的密钥，你将创建一个名为examplestore的密钥库，并创建一个带有新生成的公钥/私钥对的条目（其中公钥在证书中）。

在命令窗口中输入以下命令以创建一个名为examplestore的密钥库并生成密钥：

keytool -genkey -alias signFiles -keystore examplestore

您将被提示输入密钥和密钥库的密码。

keytool命令的子部分

让我们看看keytool的每个子部分的含义。

• 生成密钥的命令是-genkey。

• -alias signFiles子部分指示将来用于引用包含将生成的密钥的密钥库条目的别名。

• -keystore examplestore子部分指示您正在创建或已经使用的密钥库的名称（和可选路径）。

• 你被提示输入的storepass值指定了密钥库密码。

• 你被提示输入的keypass值指定了即将生成的私钥的密码。您始终需要此密码才能访问包含该密钥的密钥库条目。该条目不必有自己的密码。当提示您输入密钥密码时，您可以选择让它与密钥库密码相同。

注意：出于安全原因，您不应在命令行上设置密钥或密钥库密码，因为这样更容易被拦截。

专有名称信息

如果您使用上述keystore命令，将提示您输入您的专有名称信息。以下是提示信息；粗体表示您应该输入的内容。

What is your first and last name?
  [Unknown]:  Susan Jones 
What is the name of your organizational unit?
  [Unknown]:  Purchasing 
What is the name of your organization?
  [Unknown]:  ExampleCompany 
What is the name of your City or Locality?
  [Unknown]:  Cupertino 
What is the name of your State or Province?
  [Unknown]:  CA 
What is the two-letter country code for this unit?
  [Unknown]:  US 
Is <CN=Susan Jones, OU=Purchasing, O=ExampleCompany,
    L=Cupertino, ST=CA, C=US> correct?
  [no]:  y 

命令结果

keytool命令在执行命令的同一目录中创建名为examplestore的密钥库（如果尚不存在）。该命令为具有 Susan Jones 作为通用名称和采购部门的实体生成公钥/私钥对。

该命令创建一个包含公钥和专有名称信息的自签名证书。（您提供的专有名称将用作证书中的“主题”字段。）该证书将在 90 天内有效，如果您不指定-validity选项，则为默认有效期。该证书与密钥库条目中的私钥关联，该条目由别名signFiles引用。

自签名证书对于开发和测试应用程序非常有用。然而，用户会收到警告，指出应用程序是使用不受信任的证书签名的，并询问他们是否要运行该应用程序。为了让用户更有信心地运行您的应用程序，请使用由认可的证书颁发机构颁发的证书。

注意： 如果接受选项的默认值或希望提示输入各种值，命令可能会更短。每当执行keytool命令时，对于未指定具有默认值的选项，将使用默认值，并提示您输入任何必需的值。对于genkey命令，具有默认值的选项包括别名（默认为mykey）、有效期（90 天）和密钥库（位于您的主目录中名为.keystore的文件）。必需的值包括dname、storepass和keypass。

签署 JAR 文件

原文：docs.oracle.com/javase/tutorial/security/toolsign/step4.html

现在，您可以准备签署 JAR 文件。在命令窗口中键入以下内容，以使用密钥库条目中别名为signFiles的私钥签署 JAR 文件Count.jar，并将生成的签名 JAR 文件命名为sCount.jar：

jarsigner -keystore examplestore -signedjar sCount.jar Count.jar signFiles 

您将被要求输入存储密码和私钥密码。

注意： jarsigner工具从别名为signFiles的密钥库条目中提取证书，并将其附加到已签名 JAR 文件的生成签名中。

建议为签名加上时间戳，如果签名未加时间戳，则会显示警告。时间戳用于验证用于签署 JAR 文件的证书在签署时是否有效。有关使用jarsigner选项在签名中包含时间戳的信息，请参阅签署 JAR 文件。

导出公钥证书

原文：docs.oracle.com/javase/tutorial/security/toolsign/step5.html

现在您有一个已签名的 JAR 文件sCount.jar。当签名的 JAR 文件中的Count应用程序尝试读取文件并且策略文件授予该权限给这个已签名代码时，代码接收者（Ray）的运行时系统将需要验证签名。

为了使运行时系统能够验证签名，Ray 的密钥库需要具有与用于生成签名的私钥对应的公钥。您可以通过将证书复制到名为Example.cer的文件中，向 Ray 发送验证公钥的证书。通过以下方式从密钥库examplestore复制该证书：

keytool -export -keystore examplestore -alias signFiles -file Example.cer

你将被提示输入存储密码。

代码接收者的步骤

原文：docs.oracle.com/javase/tutorial/security/toolsign/receiver.html

在这节课中，你将扮演接收者的角色，接收包含count.class文件的已签名的 jar 文件。它请求访问你系统资源的权限，这是它通常没有权限访问的。

这个过程需要你执行下面列出的步骤。

1. 观察受限应用程序。在导入 Susan 的证书并创建策略文件之前，该应用程序将无法访问你的系统资源。

2. 使用keytool -import命令将 Susan 的证书导入为受信任的证书，并将其别名设置为susan。

3. 设置策略文件以授予权限给由susan签名的count应用程序读取你系统上指定的文件。

4. 测试你重新配置的count应用程序，以验证具有受信任证书和访问你新策略文件的权限后，count现在可以读取你的data文件。

观察受限应用程序

原文：docs.oracle.com/javase/tutorial/security/toolsign/rstep1.html

控制应用程序快速浏览课程的最后一部分展示了如何通过使用新的-Djava.security.manager命令行参数调用解释器来在安全管理器下运行应用程序。但是，如果要调用的应用程序位于 JAR 文件中怎么办？

解释器选项之一是-cp（用于类路径）选项，它允许您为应用程序类和资源指定搜索路径。因此，要在sCount.jar JAR 文件内执行Count应用程序，并将文件C:\TestData\data指定为其参数，您可以在包含sCount.jar的目录中键入以下命令：

java -cp sCount.jar Count C:\TestData\data

要使用安全管理器执行应用程序，请添加-Djava.security.manager，如下所示：

java -Djava.security.manager -cp sCount.jar Count C:\TestData\data

重要： 运行此命令时，您的 Java 解释器将抛出下面显示的异常：

Exception in thread "main" java.security.AccessControlException:
access denied (java.io.FilePermission C:\TestData\data read)
    at java.security.AccessControlContext.checkPermission(Compiled Code)
    at java.security.AccessController.checkPermission(Compiled Code)
    at java.lang.SecurityManager.checkPermission(Compiled Code)
    at java.lang.SecurityManager.checkRead(Compiled Code)
    at java.io.FileInputStream.<init>(Compiled Code)
    at Count.main(Compiled Code)

在此示例中，AccessControlException报告说count应用程序没有权限读取文件C:\TestData\data。您的解释器引发此异常，因为除非在policy文件中包含的grant语句中明确允许，否则它不会允许任何在安全管理器下运行的应用程序读取文件或访问其他资源。

将证书导入为受信任的证书

原文：docs.oracle.com/javase/tutorial/security/toolsign/rstep2.html

在授予已签署代码读取指定文件的权限之前，您需要将 Susan 的证书作为受信任的证书导入到您的密钥库中。

假设您已经从 Susan 那里收到了

• 已签署的 JAR 文件sCount.jar，其中包含Count.class文件，以及

• 包含与用于签署 JAR 文件的私钥对应的公钥证书的Example.cer文件。

即使您创建了这些文件并且它们实际上还没有被传输到任何地方，您也可以模拟成不是创建者和发送者 Susan 的其他人。假装您现在是 Ray。作为 Ray，您将创建一个名为exampleraystore的密钥库，并将其用于将证书导入到具有别名susan的条目中。

每当您使用指定尚不存在的密钥库的keytool命令时，都会创建一个密钥库。因此，我们可以通过单个keytool命令创建exampleraystore并导入证书。在命令窗口中执行以下操作。

1. 转到包含公钥证书文件Example.cer的目录。（实际上，您应该已经在那里，因为本课程假设您在整个过程中都保持在一个目录中。）

2. 在一行上输入以下命令：

   keytool -import -alias susan
      -file Example.cer -keystore exampleraystore
   
   

由于密钥库尚不存在，将会创建它，并提示您输入密钥库密码；输入任何您想要的密码。

keytool命令将打印出证书信息，并要求您验证它，例如，通过将显示的证书指纹与从另一个（受信任的）信息源获得的指纹进行比较。 （每个指纹是一个相对较短的数字，可以唯一且可靠地识别证书。）例如，在现实世界中，您可能会打电话给 Susan，并询问她应该是什么指纹。她可以通过执行以下命令获取她创建的Example.cer文件的指纹

keytool -printcert -file Example.cer

如果她看到的指纹与keytool向您报告的指纹相同，则证书在传输过程中未被修改。在这种情况下，您可以让keytool继续将受信任的证书条目放入密钥库中。该条目包含来自文件Example.cer的公钥证书数据，并被分配别名susan。

设置策略文件以授予所需的权限。

原文：docs.oracle.com/javase/tutorial/security/toolsign/rstep3.html

接下来，您将使用策略工具创建一个名为exampleraypolicy的策略文件，并在其中授予来自已签名 JAR 文件的代码权限。

JAR 文件必须使用与上一步中导入到 Ray 的密钥库（exampleraystore）中的公钥对应的私钥进行签名。包含公钥的证书在密钥库中被别名为susan。我们将授予此类代码权限以读取C:\TestData\目录中的任何文件。

步骤如下：

1. 启动策略工具

2. 指定密钥库

3. 使用 SignedBy 别名添加策略条目

4. 保存策略文件

启动策略工具

原文：docs.oracle.com/javase/tutorial/security/toolsign/wstep1.html

要启动策略工具，只需在命令行中键入以下内容：

policytool

这将打开策略工具窗口。每次启动策略工具时，它会尝试从通常称为“用户策略文件”的文件中填充此窗口中的策略信息，默认情况下，该文件名为.java.policy，位于您的主目录中。如果策略工具找不到用户策略文件，它会报告这种情况并显示一个空白的策略工具窗口（即，一个带有标题和按钮但没有数据的窗口，如下图所示。

由于本教程的课程不需要对您的官方用户策略文件进行修改，因此您将创建并使用一个与用户策略文件不同的策略文件。

假设您看到了空白的策略工具窗口（如果没有，请在文件菜单中选择新建），您可以立即开始创建一个新的策略文件。

指定密钥库

原文：docs.oracle.com/javase/tutorial/security/toolsign/wstep2.html

对于本课程，您将授予别名为 susan 的 JAR 文件中的所有代码对C:\TestData\目录中所有文件的读取访问权限。您需要

1. 指定包含别名为 susan 的证书信息的密钥库

2. 创建授予权限的策略条目

密钥库是在将证书导入为受信任的证书步骤中创建的名为exampleraystore的密钥库。

要指定密钥库，请在主策略工具窗口的编辑菜单中选择更改密钥库命令。这将弹出一个对话框，您可以在其中指定密钥库 URL 和密钥库类型。

要指定名为exampleraystore的密钥库，位于C:驱动器上的Test目录中，请在标记为“New KeyStore URL”的文本框中键入以下file URL

file:/C:/Test/exampleraystore

如果密钥库类型是默认类型，可以将标记为“New KeyStore Type”的文本框留空，如安全属性文件中所指定的那样。您的密钥库将是默认类型，因此请将文本框留空。

注意： “New KeyStore URL”值是一个 URL，因此应始终使用斜杠（而不是反斜杠）作为目录分隔符。

当您完成指定密钥库 URL 后，请选择确定。标记为密钥库的文本框现在填入了 URL。

接下来，您需要指定新的策略条目。

添加带有 SignedBy 别名的策略条目

原文：docs.oracle.com/javase/tutorial/security/toolsign/wstep3.html

要授予由susan签名的代码权限以读取C:\TestData目录中的任何文件，您需要创建一个授予此权限的策略条目。请注意，“由susan签名的代码”是指“包含在 JAR 文件中的类文件中的代码，其中 JAR 文件是使用与出现在别名为susan的 keystore 证书中的公钥对应的私钥签名的。”

在主策略工具窗口中选择添加策略条目按钮。这将打开策略条目对话框：

在此对话框中，将以下别名键入到SignedBy文本框中：

susan

将CodeBase文本框留空，以授予由susan签名的所有代码权限，无论其来源。

注意： 如果您想将权限限制为仅来自C:\Test\目录的susan签名代码，您将在CodeBase文本框中键入以下 URL：

file:/C:/Test/*

要添加权限，请选择添加权限按钮。这将打开权限对话框。

执行以下操作。

1. 从权限下拉列表中选择文件权限。完整的权限类型名称（java.io.FilePermission）现在显示在下拉列表右侧的文本框中。

2. 在标记为目标名称的列表右侧的文本框中键入以下内容，以指定C:\TestData\目录中的所有文件：

   C:\TestData\*
   
   

3. 通过从操作下拉列表中选择读取选项来指定读取权限。

现在权限对话框看起来像下面这样。

选择确定按钮。新的权限出现在策略条目对话框中的一行中，如下所示。

注意： 你在文件路径中键入的每个反斜杠都已替换为两个反斜杠，以方便您使用。策略文件中的字符串由一个标记器处理，允许使用 \ 作为转义字符（例如，\n 表示换行），因此策略文件需要两个反斜杠来表示一个反斜杠。如果您使用单个反斜杠作为目录分隔符，策略工具会自动将其转换为双反斜杠。

现在已经完成指定此策略条目的操作，请在策略条目对话框中选择完成按钮。策略工具窗口现在包含表示策略条目的一行，显示SignedBy值。

保存策略文件

原文：docs.oracle.com/javase/tutorial/security/toolsign/wstep4.html

要保存你正在创建的新策略文件，请从文件菜单中选择另存为命令。这将弹出另存为对话框。

浏览目录结构，找到要保存策略文件的目录：C:驱动器上的Test目录。输入文件名。

exampleraypolicy

然后选择保存按钮。策略文件现在已保存，其名称和路径显示在标有策略文件的文本框中。

然后通过从文件菜单中选择退出命令退出策略工具。

查看策略文件效果

原文：docs.oracle.com/javase/tutorial/security/toolsign/rstep4.html

在之前的步骤中，你在exampleraypolicy策略文件中创建了一个条目，授予由susan签名的代码从C:\TestData\目录（或者如果你在 UNIX 上工作，则是你的主目录中的testdata目录）读取文件的权限。现在，你应该能够成功地执行Count程序，从指定目录中读取文件并计算字符数，即使在使用安全管理器运行应用程序时也是如此。

如在创建策略文件课程的结尾所述，有两种可能的方式可以使exampleraypolicy文件作为整体策略的一部分被考虑，除了在安全属性文件中指定的策略文件之外。第一种方法是在传递给运行时系统的属性中指定额外的策略文件。第二种方法是在安全属性文件中添加一行指定额外的策略文件。

方法 1

你可以使用-Djava.security.policy命令行参数来指定一个策略文件，该文件应该被用来补充或替代安全属性文件中指定的文件。

要运行Count应用程序并包含exampleraypolicy策略文件，请在包含sCount.jar和exampleraypolicy文件的目录中键入以下内容：

java -Djava.security.manager
    -Djava.security.policy=exampleraypolicy
    -cp sCount.jar Count C:\TestData\data

注意：在一行上键入命令，-D和-cp之前加上一个空格。

程序应该报告指定文件中的字符数。

如果仍然报错，那么策略文件中可能存在问题。使用策略工具检查你在上一步中创建的权限，并更正任何拼写错误或其他错误。

方法 2

你可以在安全属性文件中的policy.url.n属性中指定多个 URL，包括形如"http://"的 URL，所有指定的策略文件都将被加载。

因此，让解释器考虑你的exampleraypolicy文件的策略条目的一种方法是在安全属性文件中添加指示该文件的条目。

重要提示：如果你正在运行自己的 JDK 副本，你可以轻松编辑你的安全属性文件。如果你正在运行与他人共享的版本，只有在你有写入权限或在适当时向系统管理员请求修改文件时，你才能修改系统范围的安全属性文件。然而，在本教程测试中，对于你来说可能不适合修改系统范围的策略文件；我们建议你只是阅读以下内容以了解如何操作，或者安装你自己的私人版本的 JDK 以供教程课程使用。

安全属性文件位于

• Windows：*java.home*\lib\security\java.security

• UNIX：*java.home*/lib/security/java.security

java.home部分表示 JRE 安装的目录。

要修改安全属性文件，请在适合编辑 ASCII 文本文件的编辑器中打开它。然后在以policy.url.2开头的行后添加以下行：

• Windows：**policy.url.3=file:/C:/Test/exampleraypolicy**

• UNIX：**policy.url.3=file:${user.home}/test/exampleraypolicy**

在 UNIX 系统上，您还可以显式指定您的主目录，如

policy.url.3=file:/home/susanj/test/exampleraypolicy

接下来，在您的命令窗口中，转到包含sCount.jar文件的目录，即C:\Test或~/test目录。在一行上键入以下命令：

java -Djava.security.manager
        -cp sCount.jar Count C:\TestData\data

与第一种方法一样，如果程序仍然报告错误，则可能是策略文件出现问题。使用策略工具检查您在上一步中创建的权限，并更正任何拼写错误或其他错误。

重要提示：在继续之前，您可能希望删除您刚刚在安全属性文件中添加的行（或将其注释掉），因为您可能不希望在不运行教程课程时包含exampleraypolicy文件。

课程：文件交换

原文：docs.oracle.com/javase/tutorial/security/toolfilex/index.html

如果您想将重要文件（如合同）电子发送给他人，最好对文件进行数字“签名”，以便您的接收方可以检查文件确实来自您，并在传输过程中未被更改。

本课程向您展示如何使用安全工具交换重要文件，本例中为合同。

首先，您假装自己是合同发送方，斯坦·史密斯。本课程展示了斯坦将使用的步骤，将合同放入 JAR 文件中，签名并导出与用于签署 JAR 文件的私钥对应的公钥证书。

然后，你假装自己是鲁思，已经收到签名的 JAR 文件和证书。你将使用keytool将证书导入鲁思的密钥库中，别名为stan，并使用jarsigner工具验证签名。

有关数字签名、证书、密钥库和工具的更多信息，请参阅用于安全代码和文件交换的 API 和工具使用课程。

注意：本课程假设您从同一目录中执行所有命令。

以下是步骤：

• 发送方操作步骤

• 接收方操作步骤

合同发送方的步骤

原文：docs.oracle.com/javase/tutorial/security/toolfilex/sender.html

此处为合同发送方概述的步骤与签署代码并授予权限课程中列出的代码签署者的步骤基本相同。然而，在这里，您假装是 Stan Smith 而不是 Susan Jones，并且在要签名的 JAR 文件中存储数据文件而不是类文件。

作为合同发送方，您需要执行以下步骤。

1. 创建包含合同的 JAR 文件，使用jar工具。

2. 生成密钥（如果尚未存在），使用keytool的-genkey命令。

   可选步骤：为公钥证书生成证书签名请求（CSR），并导入认证机构的响应。为简单起见，由于您只是假装是 Stan Smith，因此省略了此步骤。有关更多信息，请参见为公钥证书生成证书签名请求（CSR）。

3. 对 JAR 文件进行签名，使用jarsigner工具和第 2 步生成的私钥。

4. 导出公钥证书，使用keytool的-export命令。然后将签名的 JAR 文件和证书提供给接收方 Ruth。

创建包含合同的 JAR 文件

原文：docs.oracle.com/javase/tutorial/security/toolfilex/step1.html

你需要的第一件事是一个合同文件。你可以下载并使用这个非常基本的示例文件，命名为contract。或者你也可以使用其他任何你喜欢的文件。只需确保将文件命名为contract，这样它就可以与本课程中指定的命令一起使用。

一旦你有了合同文件，将其放入一个 JAR 文件中。在你的命令窗口中输入以下内容：

jar cvf Contract.jar contract

这个命令创建一个名为Contract.jar的 JAR 文件，并将contract文件放入其中。

生成密钥

原文：docs.oracle.com/javase/tutorial/security/toolfilex/step2.html

在签署包含contract文件的Contract.jar JAR 文件之前，如果您尚未拥有合适的密钥，则需要生成密钥。您需要使用私钥对 JAR 文件进行签名，您的接收方需要您相应的公钥来验证您的签名。

本课程假设您尚未拥有密钥对。您将创建一个名为examplestanstore的密钥库，并创建一个具有新生成的公钥/私钥对的条目（其中公钥在证书中）。

现在假设你是 Stan Smith，并且在 Example2 公司的法律部门工作。在命令窗口中输入以下内容，创建一个名为examplestanstore的密钥库，并为 Stan Smith 生成密钥：

keytool -genkey -alias signLegal -keystore examplestanstore

密钥库工具会提示您输入密钥库密码、专有名称信息和密钥密码。以下是提示信息；粗体表示您应该输入的内容。

Enter keystore password:   *<password>*
What is your first and last name?
  [Unknown]:  Stan Smith 
What is the name of your organizational unit?
  [Unknown]:  Legal 
What is the name of your organization?
  [Unknown]:  Example2 
What is the name of your City or Locality?
  [Unknown]:  New York
What is the name of your State or Province?
  [Unknown]:  NY 
What is the two-letter country code for this unit?
  [Unknown]:  US 
Is <CN=Stan Smith, OU=Legal, O=Example2, L=New York, ST=NY, C=US> correct?
  [no]:  y 

Enter key password for <signLegal>
        (RETURN if same as keystore password):

前面的keytool命令在执行命令的同一目录中（假设指定的密钥库尚不存在）创建名为examplestanstore的密钥库，并为具有Stan Smith通用名称和Legal组织单位的实体生成公钥/私钥对。

你刚刚创建的自签名证书包括公钥和专有名称信息。（自签名证书是由与证书中公钥对应的私钥签名的证书。）该证书有效期为 90 天。如果不指定* -validity*选项，则默认有效期为 90 天。该证书与别名为signLegal的密钥库条目中的私钥相关联。私钥分配了输入的密码。

自签名证书对于开发和测试应用程序非常有用。但是，用户会收到警告，应用程序是使用不受信任的证书签名的，并询问他们是否要运行该应用程序。为了让用户更有信心运行您的应用程序，请使用由认可的证书颁发机构颁发的证书。

签署 JAR 文件

原文：docs.oracle.com/javase/tutorial/security/toolfilex/step3.html

现在，您已经准备好签署 JAR 文件了。

在命令窗口中一行输入以下内容，以使用密钥库条目中别名为signLegal的私钥签署 JAR 文件Contract.jar，并将生成的签名附加到命名为sContract.jar的结果签名的 JAR 文件中：

jarsigner -keystore examplestanstore
    -signedjar sContract.jar
    Contract.jar signLegal

系统会提示您输入存储密码和私钥密码。

jarsigner工具从别名为signLegal的密钥库条目中提取证书，并将其附加到已签名 JAR 文件的生成签名中。

导出公钥证书

原文：docs.oracle.com/javase/tutorial/security/toolfilex/step4.html

您现在拥有一个已签名的 JAR 文件sContract.jar。想要使用此文件的接收方也希望验证您的签名。为此，他们需要与您用于生成签名的私钥对应的公钥。您可以通过将包含您的公钥的证书副本发送给他们来提供您的公钥。通过以下方式，将该证书从密钥库examplestanstore复制到名为StanSmith.cer的文件中：

keytool -export -keystore examplestanstore
-alias signLegal -file StanSmith.cer

系统会提示您输入存储密码。

一旦他们获得了该证书和签名的 JAR 文件，您的接收方可以使用jarsigner工具来验证您的签名。请参阅合同接收方的步骤。

合同接收方的步骤

docs.oracle.com/javase/tutorial/security/toolfilex/receiver.html

现在扮演接收来自 Stan 的签名 JAR 文件和证书文件的 Ruth，执行以下步骤。

1. 使用keytool的-import命令将证书导入为受信任的证书。

2. 使用jarsigner工具验证 JAR 文件签名。

将证书导入为受信任的证书

原文：docs.oracle.com/javase/tutorial/security/toolfilex/rstep1.html

假设您是 Ruth，并已从 Stan Smith 那里收到

• 签名的 JAR 文件sContract.jar包含一个合同

• 文件StanSmith.cer包含与用于签署 JAR 文件的私钥对应的公钥证书

在您可以使用jarsigner工具检查 JAR 文件签名的真实性之前，您需要将 Stan 的证书导入您的密钥库。

即使您（扮演 Stan）创建了这些文件，它们实际上还没有被传输到任何地方，您可以模拟成除创建者和发送者 Stan 之外的其他人。作为 Ruth，输入以下命令创建一个名为exampleruthstore的密钥库，并将证书导入到别名为stan的条目中。

keytool -import -alias stan -file StanSmith.cer -keystore exampleruthstore

由于密钥库尚不存在，keytool将为您创建它。它会提示您输入密钥库密码。

keytool打印证书信息并要求您验证它；例如，通过将显示的证书指纹与从另一个（受信任的）信息源获得的指纹进行比较。（每个指纹是一个相对较短的数字，可以唯一且可靠地识别证书。）例如，在现实世界中，您可以打电话给 Stan 并询问他应该是什么指纹。他可以通过执行命令获取他创建的StanSmith.cer文件的指纹

keytool -printcert -file StanSmith.cer

如果他看到的指纹与keytool向您报告的指纹相同，则您都可以假定证书在传输过程中未被修改。您可以放心地让keytool继续将一个“受信任的证书”条目放入您的密钥库中。该条目包含来自文件StanSmith.cer的公钥证书数据。keytool为这个新条目分配别名stan。

验证 JAR 文件签名。

docs.oracle.com/javase/tutorial/security/toolfilex/rstep2.html

作为 Ruth，您现在已将 Stan 的公钥证书导入到exampleruthstore密钥库中作为“受信任的证书”。您现在可以使用jarsigner工具来验证 JAR 文件签名的真实性。

当您验证已签名的 JAR 文件时，您验证签名是否有效，以及 JAR 文件是否未被篡改。您可以通过以下命令对sContract.jar文件进行此操作：

jarsigner -verify -verbose -keystore exampleruthstore sContract.jar 

您应该看到类似以下内容：

       183 Fri Jul 31 10:49:54 PDT 1998 META-INF/SIGNLEGAL.SF
       1542 Fri Jul 31 10:49:54 PDT 1998 META-INF/SIGNLEGAL.DSA
       0 Fri Jul 31 10:49:18 PDT 1998 META-INF/
smk    1147 Wed Jul 29 16:06:12 PDT 1998 contract

 s = signature was verified 
 m = entry is listed in manifest
 k = at least one certificate was found in keystore
 i = at least one certificate was found in identity scope

jar verified.

请务必使用-verbose选项运行命令，以获取足够的信息以确保以下内容：

• 合同文件是 JAR 文件中的文件之一，已签名并验证其签名（这就是s的意思）。

• 用于验证签名的公钥位于指定的密钥库中，因此您信任它（这就是k的意思）。

课程：生成和验证签名

原文：docs.oracle.com/javase/tutorial/security/apisign/index.html

本课程将指导您使用 JDK 安全 API 为数据生成数字签名并验证签名的步骤。本课程适用于希望将安全功能纳入其程序中的开发人员，包括密码服务。

本课程演示了使用 JDK 安全 API 签署文档。该课程展示了一个程序，由拥有原始文档的人执行，用于生成密钥、使用私钥为文档生成数字签名，并将公钥和签名导出到文件。

然后展示了另一个程序的示例，由文档、签名和公钥的接收者执行。展示了程序如何导入公钥并验证签名的真实性。该课程还讨论并演示了可能的替代方法和提供和导入密钥的方法，包括在证书中。

欲了解有关概念和术语（数字签名、证书、密钥库）的更多信息，请参阅用于安全代码和文件交换的 API 和工具使用课程。

在本课程中，您将创建两个基本应用程序，一个用于数字签名生成，另一个用于验证。接着讨论和演示了潜在的增强功能。本课程包含三个部分。

• 生成数字签名展示了使用 API 生成数据的密钥和数字签名，使用私钥并将公钥和签名导出到文件。应用程序从命令行获取数据文件名。

• 验证数字签名展示了使用 API 导入一个公钥和一个据称是指定数据文件签名的签名，并验证签名的真实性。数据、公钥和签名文件名在命令行中指定。

• 弱点和替代方案讨论了基本程序使用的方法可能存在的弱点。然后介绍并演示了可能的替代方法和提供和导入密钥的方法，包括使用包含编码密钥字节的文件和使用包含公钥的证书。

生成数字签名

原文：docs.oracle.com/javase/tutorial/security/apisign/gensig.html

即将创建的GenSig程序将使用 JDK 安全 API 生成密钥和使用私钥为数据生成数字签名，并将公钥和签名导出到文件中。应用程序从命令行获取数据文件名。

以下步骤创建GenSig示例程序。

1. 准备初始程序结构

   创建一个名为GenSig.java的文本文件。输入初始程序结构（导入语句、类名、main方法等）。

2. 生成公钥和私钥

   生成一对密钥（公钥和私钥）。私钥用于对数据进行签名。公钥将被VerSig程序用于验证签名。

3. 对数据进行签名

   获取一个Signature对象并初始化以进行签名。提供要签名的数据，并生成签名。

4. 保存签名和公钥到文件中

   将签名字节保存在一个文件中，将公钥字节保存在另一个文件中。

5. 编译并运行程序

准备初始程序结构

原文：docs.oracle.com/javase/tutorial/security/apisign/step1.html

这是GenSig程序的基本结构。将其放在名为GenSig.java的文件中。

import java.io.*;
import java.security.*;

class GenSig {

    public static void main(String[] args) {

        /* Generate a DSA signature */

        if (args.length != 1) {
            System.out.println("Usage: GenSig nameOfFileToSign");
        }
        else try {

        // the rest of the code goes here

        } catch (Exception e) {
            System.err.println("Caught exception " + e.toString());
        }
    }
}

注意：

• 签署数据的方法位于java.security包中，因此程序从该包中导入所有内容。程序还导入了java.io包，其中包含输入要签名的文件数据所需的方法。

• 期望提供一个参数，指定要签名的数据文件。

• 后续步骤中编写的代码将放在try和catch块之间。

生成公钥和私钥

原文：docs.oracle.com/javase/tutorial/security/apisign/step2.html

要能够创建数字签名，您需要一个私钥。（为了验证签名的真实性，还需要相应的公钥。）

在某些情况下，密钥对（私钥和相应的公钥）已经存在于文件中。在这种情况下，程序可以导入并使用私钥进行签名，如 Weaknesses and Alternatives 中所示。

在其他情况下，程序需要生成密钥对。通过使用KeyPairGenerator类生成密钥对。

在此示例中，您将为数字签名算法（DSA）生成公钥/私钥对。您将生成长度为 1024 位的密钥。

生成密钥对需要几个步骤：

创建密钥对生成器

第一步是获取用于生成 DSA 签名算法密钥的密钥对生成器对象。

与所有引擎类一样，获取特定类型算法的KeyPairGenerator对象的方法是在KeyPairGenerator类上调用getInstance静态工厂方法。该方法有两种形式，都有一个String algorithm作为第一个参数；其中一种形式还有一个String provider作为第二个参数。

调用者可以选择指定提供程序的名称，这将确保所请求的算法实现来自指定的提供程序。本课程的示例代码始终指定内置于 JDK 中的默认 SUN 提供程序。

在上述声明之后放置

else try {

在上一步创建的文件中的行，Prepare Initial Program Structure：

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("DSA", "SUN");

初始化密钥对生成器

下一步是初始化密钥对生成器。所有密钥对生成器都共享密钥大小和随机源的概念。KeyPairGenerator类有一个initialize方法，接受这两种类型的参数。

DSA 密钥生成器的密钥大小是密钥长度（以位为单位），您将设置为 1024。

随机源必须是SecureRandom类的实例，提供一个密码学强随机数生成器（RNG）。有关SecureRandom的更多信息，请参阅SecureRandom API Specification和Java Cryptography Architecture Reference Guide。

以下示例请求一个使用内置 SUN 提供程序提供的 SHA1PRNG 算法的SecureRandom实例。然后将此SecureRandom实例传递给密钥对生成器初始化方法。

SecureRandom random = SecureRandom.getInstance("SHA1PRNG", "SUN");
keyGen.initialize(1024, random);

有些情况需要强随机值，比如创建高价值和长期存在的秘密，如 RSA 公钥和私钥。为了帮助应用程序选择合适的强SecureRandom实现，从 JDK 8 开始，Java 发行版在java.security.Security类的securerandom.strongAlgorithms属性中包含了已知的强SecureRandom实现列表。当您创建这样的数据时，应考虑使用SecureRandom.getInstanceStrong()，因为它获取已知强算法的实例。

生成密钥对

最后一步是生成密钥对，并将密钥存储在PrivateKey和PublicKey对象中。

KeyPair pair = keyGen.generateKeyPair();
PrivateKey priv = pair.getPrivate();
PublicKey pub = pair.getPublic();

对数据进行签名

原文：docs.oracle.com/javase/tutorial/security/apisign/step3.html

现在您已经创建了公钥和私钥，可以准备对数据进行签名。在此示例中，您将对文件中包含的数据进行签名。GenSig 从命令行获取文件名。使用 Signature 类的实例创建数字签名。

对数据进行签名，生成该数据的数字签名，需要执行以下步骤。

获取签名对象：以下获取一个 Signature 对象，用于使用 DSA 算法生成或验证签名，该算法与程序在上一步中生成密钥的算法相同，生成公钥和私钥。

Signature dsa = Signature.getInstance("SHA1withDSA", "SUN"); 

注意：在指定签名算法名称时，还应包括签名算法使用的消息摘要算法的名称。SHA1withDSA 是指定 DSA 签名算法的一种方式，使用 SHA-1 消息摘要算法。

初始化签名对象

在 Signature 对象用于签名或验证之前，必须进行初始化。签名的初始化方法需要一个私钥。使用前一步中放入名为 priv 的 PrivateKey 对象中的私钥。

dsa.initSign(priv);

向签名对象提供要签名的数据 该程序将使用作为第一个（也是唯一的）命令行参数指定的文件名中的数据。程序将逐个缓冲区读取数据，并通过调用 update 方法将其提供给 Signature 对象。

FileInputStream fis = new FileInputStream(args[0]);
BufferedInputStream bufin = new BufferedInputStream(fis);
byte[] buffer = new byte[1024];
int len;
while ((len = bufin.read(buffer)) >= 0) {
    dsa.update(buffer, 0, len);
};
bufin.close();

生成签名

一旦所有数据都已提供给 Signature 对象，就可以生成该数据的数字签名。

byte[] realSig = dsa.sign();

将签名和公钥保存在文件中

原文：docs.oracle.com/javase/tutorial/security/apisign/step4.html

现在您已经为某些数据生成了签名，您需要将签名字节保存在一个文件中，将公钥字节保存在另一个文件中，这样您就可以通过调制解调器、软盘、邮件等方式将其发送给其他人。

• 生成签名的数据，

• 签名，

• 公钥

接收方可以通过运行您将在接下来的验证数字签名步骤中生成的VerSig程序来验证数据是否来自您，并且在传输过程中没有被修改。该程序使用公钥来验证接收到的签名是否是接收到的数据的真实签名。

回想一下，签名是放在一个名为realSig的字节数组中的。您可以通过以下方式将签名字节保存在名为sig的文件中。

/* save the signature in a file */
FileOutputStream sigfos = new FileOutputStream("sig");
sigfos.write(realSig);
sigfos.close();

从生成公钥和私钥步骤中回想一下，公钥是放在一个名为pub的 PublicKey 对象中的。您可以通过调用getEncoded方法获取编码后的密钥字节，然后将编码后的字节存储在一个文件中。您可以随意命名文件。例如，如果您的名字是 Susan，您可以将其命名为suepk（代表"Sue 的公钥"），如下所示：

/* save the public key in a file */
byte[] key = pub.getEncoded();
FileOutputStream keyfos = new FileOutputStream("suepk");
keyfos.write(key);
keyfos.close();

编译并运行程序

原文：docs.oracle.com/javase/tutorial/security/apisign/step5.html

这里是GenSig.java程序的完整源代码，添加了一些注释。编译并运行它。请记住，您需要指定要签名的文件名，如

java GenSig data

您可以下载并使用名为data的示例文件或您喜欢的任何其他文件。该文件不会被修改。它将被读取，以便为其生成签名。

执行程序后，您应该看到保存的suepk（公钥）和sig（签名）文件。

验证数字签名

原文：docs.oracle.com/javase/tutorial/security/apisign/versig.html

如果您有生成数字签名的数据，您可以验证签名的真实性。为此，您需要

• 数据

• 签名

• 用于签署数据的私钥对应的公钥

在这个例子中，您编写一个VerSig程序来验证由GenSig程序生成的签名。这演示了验证据称签名真实性所需的步骤。

VerSig导入一个公钥和一个据称是指定数据文件签名的签名，然后验证签名的真实性。公钥、签名和数据文件名在命令行中指定。

创建VerSig示例程序以导入文件并验证签名的步骤如下。

1. 准备初始程序结构

   创建一个名为VerSig.java的文本文件。输入初始程序结构（导入语句、类名、main方法等）。

2. 输入并转换编码的公钥字节

   从指定为第一个命令行参数的文件中导入编码的公钥字节，并将其转换为PublicKey。

3. 输入签名字节

   从指定为第二个命令行参数的文件中输入签名字节。

4. 验证签名

   获取一个Signature对象并用于验证签名的公钥进行初始化。提供要验证签名的数据（来自指定为第三个命令行参数的文件），并验证签名。

5. 编译和运行程序

准备初始程序结构

原文：docs.oracle.com/javase/tutorial/security/apisign/vstep1.html

这是在本课程后续部分创建的VerSig程序的基本结构。将此程序结构放在名为VerSig.java的文件中。

import java.io.*;
import java.security.*;
import java.security.spec.*;

class VerSig {

    public static void main(String[] args) {

        /* Verify a DSA signature */

        if (args.length != 3) {
            System.out.println("Usage: VerSig " +
                "publickeyfile signaturefile " + "datafile");
        }
        else try {

        // the rest of the code goes here

        } catch (Exception e) {
            System.err.println("Caught exception " + e.toString());
        }
    }

}

注意：

• 用于验证数据的方法位于java.security包中，因此程序从该包中导入所有内容。程序还从java.io包中导入所需的用于输入要签名的文件数据的方法，以及从java.security.spec包中导入包含X509EncodedKeySpec类的内容。

• 期望有三个参数，分别指定公钥、签名和数据文件。

• 在本课程后续步骤中编写的代码将放在try和catch块之间。

输入并转换编码的公钥字节

原文：docs.oracle.com/javase/tutorial/security/apisign/vstep2.html

接下来，VerSig需要从指定为第一个命令行参数的文件中导入编码的公钥字节，并将其转换为PublicKey。需要一个PublicKey，因为Signature的initVerify方法需要它来初始化用于验证的Signature对象。

首先，读取编码的公钥字节。

FileInputStream keyfis = new FileInputStream(args[0]);
byte[] encKey = new byte[keyfis.available()];  
keyfis.read(encKey);

keyfis.close();

现在字节数组encKey包含了编码的公钥字节。

你可以使用KeyFactory类来实例化一个 DSA 公钥，从其编码中。KeyFactory类提供了不透明密钥（类型为Key）和密钥规范之间的转换，密钥规范是底层密钥材料的透明表示。通过不透明密钥，你可以获取算法名称、格式名称和编码的密钥字节，但不能获取密钥材料，例如，可能包括密钥本身和用于计算密钥的算法参数。 （请注意，PublicKey，因为它扩展了Key，本身也是一个Key。）

所以，首先你需要一个密钥规范。假设密钥是根据 X.509 标准编码的，你可以通过以下方式获取一个，例如，如果密钥是使用 SUN 提供的内置 DSA 密钥对生成器生成的：

X509EncodedKeySpec pubKeySpec = new X509EncodedKeySpec(encKey);

现在你需要一个KeyFactory对象来进行转换。该对象必须是一个可以处理 DSA 密钥的对象。

KeyFactory keyFactory = KeyFactory.getInstance("DSA", "SUN");

最后，你可以使用KeyFactory对象从密钥规范生成一个PublicKey。

PublicKey pubKey =
    keyFactory.generatePublic(pubKeySpec);

输入签名字节

原文：docs.oracle.com/javase/tutorial/security/apisign/vstep3.html

下一步，输入作为第二个命令行参数指定的文件中的签名字节。

FileInputStream sigfis = new FileInputStream(args[1]);
byte[] sigToVerify = new byte[sigfis.available()]; 
sigfis.read(sigToVerify);
sigfis.close();

现在字节数组sigToVerify包含了签名字节。

验证签名

原文：docs.oracle.com/javase/tutorial/security/apisign/vstep4.html

您已经向VerSig程序添加了代码

• 输入编码的密钥字节并将其转换为名为pubKey的PublicKey

• 将签名字节输入到名为sigToVerify的字节数组中

您现在可以继续进行验证。

初始化用于验证的 Signature 对象

与生成签名一样，签名是通过使用Signature类的实例来验证的。您需要创建一个使用与生成签名相同的签名算法的Signature对象。GenSig程序使用的算法是来自 SUN 提供程序的 SHA1withDSA 算法。

Signature sig = Signature.getInstance("SHA1withDSA", "SUN");

接下来，您需要初始化Signature对象。验证的初始化方法需要公钥。

sig.initVerify(pubKey);

向签名对象提供要验证的数据 现在，您需要向Signature对象提供生成签名的数据。这些数据位于以第三个命令行参数指定的文件中。与签名时一样，逐个缓冲区读取数据，并通过调用update方法将其提供给Signature对象。

FileInputStream datafis = new FileInputStream(args[2]);
BufferedInputStream bufin = new BufferedInputStream(datafis);

byte[] buffer = new byte[1024];
int len;
while (bufin.available() != 0) {
    len = bufin.read(buffer);
    sig.update(buffer, 0, len);
};

bufin.close();

验证签名

一旦您向Signature对象提供了所有数据，您可以验证该数据的数字签名并报告结果。请记住，所谓的签名已读入名为sigToVerify的字节数组。

boolean verifies = sig.verify(sigToVerify);

System.out.println("signature verifies: " + verifies);

如果所谓的签名（sigToVerify）是由与公钥pubKey对应的私钥生成的指定数据文件的实际签名，则verifies值将为true。

编译并运行程序

原文：docs.oracle.com/javase/tutorial/security/apisign/vstep5.html

这里是VerSig.java程序的完整源代码，附加了一些注释。

编译并运行程序。请记住，您需要在命令行上指定三个参数：

• 包含编码的公钥字节的文件的名称

• 包含签名字节的文件的名称

• 数据文件的名称（生成签名的文件）

由于您将测试GenSig程序的输出，您应该使用的文件名是

• suepk

• sig

• data

这是一个示例运行；粗体表示您需要键入的内容。

%java VerSig suepk sig data
signature verifies: true

弱点和替代方案

原文：docs.oracle.com/javase/tutorial/security/apisign/enhancements.html

本课程中的GenSig和VerSig程序演示了使用 JDK 安全 API 生成数据的数字签名以及验证签名的用法。然而，这些程序描绘的实际场景，即发送方使用 JDK 安全 API 生成新的公钥/私钥对，发送方将编码的公钥字节存储在文件中，接收方读取密钥字节，这并不一定是现实的，并且存在一个潜在的重大缺陷。

在许多情况下，密钥不需要生成；它们已经存在，要么作为文件中的编码密钥，要么作为密钥库中的条目。

潜在的重大缺陷在于没有任何保证接收方收到的公钥的真实性，而VerSig程序只有在提供的公钥本身是真实的情况下才能正确验证签名的真实性！

使用编码的密钥字节

有时，编码的密钥字节已经存在于用于签名和验证的密钥对的文件中。如果是这种情况，GenSig程序可以导入编码的私钥字节，并将其转换为签名所需的PrivateKey，通过以下方式，假设包含私钥字节的文件名在privkeyfile字符串中，并且字节代表已使用 PKCS #8 标准编码的 DSA 密钥。

FileInputStream keyfis = new FileInputStream(privkeyfile);
byte[] encKey = new byte[keyfis.available()];
keyfis.read(encKey);
keyfis.close();

PKCS8EncodedKeySpec privKeySpec = new PKCS8EncodedKeySpec(encKey);

KeyFactory keyFactory = KeyFactory.getInstance("DSA");
PrivateKey privKey = keyFactory.generatePrivate(privKeySpec);

GenSig不再需要将公钥字节保存在文件中，因为它们已经在一个文件中。

在这种情况下，发送方发送接收方

• 包含编码的公钥字节的已存在文件（除非接收方已经拥有此文件）和

• 由GenSig导出的数据文件和签名文件。

VerSig程序保持不变，因为它已经期望文件中存在编码的公钥字节。

但是，如果有恶意用户拦截文件并以一种无法检测到其更换的方式替换它们，会出现什么潜在问题呢？在某些情况下，这不是问题，因为人们已经通过面对面或通过信任的第三方进行了公钥交换。之后，可以远程进行多次文件和签名交换（即在不同位置的两个人之间），并且可以使用公钥来验证其真实性。如果有恶意用户尝试更改数据或签名，这将被VerSig检测到。

如果无法进行面对面的密钥交换，您可以尝试其他方法来增加正确接收的可能性。例如，您可以在随后的数据和签名文件交换之前，通过尽可能安全的方法发送您的公钥，也许使用不太安全的媒介。

一般来说，将数据和签名与你的公钥分开发送大大降低了攻击的可能性。除非所有三个文件都被更改，并且以下一段讨论的特定方式，否则VerSig将检测到任何篡改。

如果所有三个文件（数据文档、公钥和签名）被恶意用户拦截，那个人可以用私钥替换文档并签名，然后将替换后的文档、新签名和用于生成新签名的私钥对应的公钥转发给你。然后VerSig会报告验证成功，你会认为文档来自原始发送者。因此，你应该采取措施确保至少公钥完整接收（VerSig检测到其他文件的任何篡改），或者可以使用证书来促进公钥的认证，如下一节所述。

使用证书

在密码学中，更常见的是交换包含公钥的证书，而不是公钥本身。

一个好处是，证书由一个实体（颁发者）签名，以验证所包含的公钥是另一个实体（主体或所有者）的实际公钥。通常，一个受信任的第三方认证机构（CA）验证主体的身份，然后通过签署证书来担保其为公钥所有者。

使用证书的另一个好处是，你可以通过使用颁发者（签名者）的公钥验证其数字签名来检查你收到的证书的有效性，该公钥本身可能存储在一个证书中，其签名可以通过使用该证书颁发者的公钥验证；该公钥本身可能存储在一个证书中，依此类推，直到达到你已经信任的公钥。

如果你无法建立信任链（也许因为所需的颁发者证书对你不可用），可以计算证书的指纹。每个指纹是一个相对较短的数字，可以唯一可靠地识别证书。（从技术上讲，它是证书信息的哈希值，使用消息摘要，也称为单向哈希函数。）你可以联系证书所有者，比较你收到的证书的指纹与发送的指纹。如果它们相同，证书也相同。

对于GenSig来说，更安全的做法是创建包含公钥的证书，然后让VerSig导入证书并提取公钥。然而，JDK 没有公共证书 API，允许你从公钥创建证书，因此GenSig程序无法从生成的公钥创建证书。（尽管有从证书中提取公钥的公共 API。）

如果您愿意，您可以使用各种安全工具，而不是 API，对您的重要文档进行签名，并与密钥库中的证书一起使用，就像在文件交换课程中所做的那样。

或者，您可以使用 API 修改您的程序以使用来自密钥库的已存在私钥和相应的公钥（在证书中）。首先，修改GenSig程序以从密钥库中提取私钥而不是生成新密钥。首先，让我们假设以下内容：

• 密钥库名称在String``ksName中

• 密钥库类型为"JKS"，这是来自 Oracle 的专有类型。

• 密钥库密码在字符数组spass中

• 包含私钥和公钥证书的密钥库条目的别名在String``alias中

• 私钥密码在字符数组kpass中

然后，您可以通过以下方式从密钥库中提取私钥。

KeyStore ks = KeyStore.getInstance("JKS");
FileInputStream ksfis = new FileInputStream(ksName); 
BufferedInputStream ksbufin = new BufferedInputStream(ksfis);

ks.load(ksbufin, spass);
PrivateKey priv = (PrivateKey) ks.getKey(alias, kpass);

您可以从密钥库中提取公钥证书，并将其编码字节保存到名为suecert的文件中，通过以下方式。

java.security.cert.Certificate cert = ks.getCertificate(alias);
byte[] encodedCert = cert.getEncoded();

// Save the certificate in a file named "suecert" 

FileOutputStream certfos = new FileOutputStream("suecert");
certfos.write(encodedCert);
certfos.close();

然后，您将数据文件、签名和证书发送给接收者。接收者通过首先使用keytool -printcert命令获取证书的指纹来验证证书的真实性。

keytool -printcert -file suecert
Owner: CN=Susan Jones, OU=Purchasing, O=ABC, L=Cupertino, ST=CA, C=US
Issuer: CN=Susan Jones, OU=Purchasing, O=ABC, L=Cupertino, ST=CA, C=US
Serial number: 35aaed17
Valid from: Mon Jul 13 22:31:03 PDT 1998 until:
Sun Oct 11 22:31:03 PDT 1998
Certificate fingerprints:
MD5:  1E:B8:04:59:86:7A:78:6B:40:AC:64:89:2C:0F:DD:13
SHA1: 1C:79:BD:26:A1:34:C0:0A:30:63:11:6A:F2:B9:67:DF:E5:8D:7B:5E

然后接收者验证指纹，可能通过给发送者打电话并将其与发送者的证书进行比较，或者通过在公共存储库中查找它们来进行验证。

接收者的验证程序（修改后的VerSig）然后可以通过以下方式导入证书并从中提取公钥，假设证书文件名（例如，suecert）在String``certName中。

FileInputStream certfis = new FileInputStream(certName);
java.security.cert.CertificateFactory cf =
    java.security.cert.CertificateFactory.getInstance("X.509");
java.security.cert.Certificate cert =  cf.generateCertificate(certfis);
PublicKey pub = cert.getPublicKey();

确保数据机密性

假设您希望保持数据的内容机密性，以便在传输过程中（或在您自己的计算机或磁盘上）无意或恶意尝试查看数据的人无法这样做。为了保持数据的机密性，您应该对其进行加密，仅存储和发送加密结果（称为ciphertext）。接收者可以解密密文以获得原始数据的副本。

课程：实现您自己的权限

原文：docs.oracle.com/javase/tutorial/security/userperm/index.html

本课程演示了如何编写一个定义自己特殊权限的类。本课程的基本组件包括：

1. 一个名为ExampleGame的示例游戏。

2. 一个名为HighScore的类，被ExampleGame用来存储用户最新的高分。

3. 一个名为HighScorePermission的类，用于保护对用户存储的高分值的访问。

4. 用户的安全策略文件，授予ExampleGame更新他/她的高分的权限。

基本场景如下：

1. 用户玩ExampleGame。

2. 如果用户达到新的高分，ExampleGame使用HighScore类来保存这个新值。

3. HighScore类查看用户的安全策略，以检查ExampleGame是否有权限更新用户的高分值。

4. 如果ExampleGame有权限更新高分，则 HighScore 类更新该值。

我们描述每个基本组件的关键点，然后展示一个示例运行：

• ExampleGame

• 高分类

• 高分权限类

• 一个示例策略文件

• 将所有内容整合在一起

ExampleGame

原文：docs.oracle.com/javase/tutorial/security/userperm/game.html

下面是ExampleGame的源代码。为简单起见，ExampleGame实际上并不包含玩游戏的代码。它只是检索或更新用户的最高分。

要查看用户当前的最高分值，您可以运行：

java ExampleGame get

要为用户设置新的最高分值，您可以运行：

java ExampleGame set *score* 

要检索用户当前的最高分，ExampleGame只需实例化一个HighScore对象并调用其getHighScore方法。要为用户设置新的最高分，ExampleGame实例化一个HighScore对象并调用setHighScore，将用户的新最高分传递给它。

这里是ExampleGame的源代码，ExampleGame.java:

package com.gamedev.games;

import java.io.*;
import java.security.*;
import java.util.Hashtable;
import com.scoredev.scores.*;

public class ExampleGame
{
    public static void main(String args[])
	throws Exception 
    {
	HighScore hs = new HighScore("ExampleGame");

	if (args.length == 0)
	    usage();

	if (args[0].equals("set")) {
	    hs.setHighScore(Integer.parseInt(args[1]));
	} else if (args[0].equals("get")) {
	    System.out.println("score = "+ hs.getHighScore());
	} else {
	    usage();
	}
    }

    public static void usage()
    {
	System.out.println("ExampleGame get");
	System.out.println("ExampleGame set <score>");
	System.exit(1);
    }
}

高分类

原文：docs.oracle.com/javase/tutorial/security/userperm/highscore.html

HighScore类存储并保护用户在ExampleGame（以及调用它的任何其他游戏）中的高分值的访问。为简单起见，该类将高分值保存到名为.highscore的文件中，该文件位于用户的主目录中。但是，在允许ExampleGame检索或更新用户的高分值之前，该类会检查用户是否已在其安全策略文件中授予ExampleGame访问高分的权限。

检查ExampleGame是否具有HighScorePermission

要检查ExampleGame是否具有访问用户高分值的权限，HighScore类必须：

1. 调用System.getSecurityManager()以获取当前安装的安全管理器。

2. 如果结果不为空（也就是说，存在一个安全管理器，而不是调用者是一个无限制的应用程序），那么

   1. 构造一个HighScorePermission对象，并

   2. 调用安全管理器的checkPermission方法，并传递新构造的HighScorePermission对象。

这是代码：

SecurityManager sm = System.getSecurityManager();
if (sm != null) {
    sm.checkPermission(
        new HighScorePermission(gameName));
}

checkPermission方法本质上是询问安全管理器是否ExampleGame具有指定的HighScorePermission。换句话说，它询问安全管理器是否ExampleGame有权限更新指定游戏（ExampleGame）的用户高分值。底层安全框架将查阅用户的安全策略，以查看ExampleGame是否确实具有此权限。

高分代码

这里是HighScore类的完整源代码。

注意：doPrivileged方法调用用于使HighScore能够临时访问对其可用但对调用它的代码（ExampleGame）不可用的资源。例如，预期策略文件将授予HighScore访问用户主目录中的.highscore文件的权限，但不会授予这些权限给游戏，如ExampleGame。

HighScorePermission 类

原文：docs.oracle.com/javase/tutorial/security/userperm/perm.html

HighScorePermission 类定义了 ExampleGame 需要更新用户高分的权限。

所有权限类都应该从 java.security.Permission 或 java.security.BasicPermission 中的一个子类化。两者之间的基本区别在于，java.security.Permission 定义了需要名称和操作的更复杂的权限。例如，java.io.FilePermission 扩展自 java.security.Permission，并需要一个名称（文件名）以及该文件允许的操作（读/写/删除）。

相比之下，java.security.BasicPermission 定义了只需要名称的更简单的权限。例如，java.lang.RuntimePermission 扩展自 java.security.BasicPermission，只需要一个名称（如 "exitVM"），允许程序退出 Java 虚拟机。

我们的 HighScorePermission 是一个简单的权限，因此可以从 java.security.BasicPermission 扩展。

通常，BasicPermission 类中的方法实现本身不需要被其子类重写。这就是我们的 HighScorePermission 的情况，所以我们只需要实现构造函数，它们只是调用超类的构造函数，如以下所示：

package com.scoredev.scores;

import java.security.*;

public final class HighScorePermission extends BasicPermission {

    public HighScorePermission(String name)
    {
	super(name);
    }

    // note that actions is ignored and not used,
    // but this constructor is still needed
    public HighScorePermission(String name, String actions) 
    {
	super(name, actions);
    }
}

一个示例策略文件

原文：docs.oracle.com/javase/tutorial/security/userperm/policy.html

以下是一个完整的策略文件，供用户运行ExampleGame使用。

这里不描述策略文件的语法；如果您感兴趣，请参阅默认策略实现和策略文件语法页面。

你不需要了解语法；你可以随时使用策略工具创建策略文件，如创建策略文件，控制应用程序的快速导览，以及签署代码并授予权限课程中所示。

以下是示例策略文件，后面是各个条目的描述。假设

• 策略文件位于 Kim 的计算机上，Kim 的密钥库命名为kim.keystore。

• ExampleGame已由游戏创建者 Terry 的私钥签名，相应的公钥在别名为"terry"的密钥库条目中。

• HighScore和HighScorePermissions类是由实现它们的人（Chris）的私钥签名的，相应的公钥在别名为"chris"的密钥库条目中。

这是策略文件：kim.policy

keystore "kim.keystore";

// Here is the permission ExampleGame needs.
// It grants code signed by "terry" the
// HighScorePermission, if the
// HighScorePermission was signed by "chris"
grant SignedBy "terry" {
  permission
    com.scoredev.scores.HighScorePermission
      "ExampleGame", signedBy "chris";
};

// Here is the set of permissions the HighScore
// class needs:
grant SignedBy "chris" {
  // The HighScore class needs permission to read
  // "user.home" to find the location of the
  // highscore file

  permission java.util.PropertyPermission
    "user.home", "read";

  // It needs permission to read and write the
  // high score file itself

  permission java.io.FilePermission
      "${user.home}${/}.highscore", "read,write";

  // It needs to get granted its own permission,
  // so it can call checkPermission
  // to see if its caller has permission.
  // Only grant it the permission
  // if the permission itself was signed by
  // "chris"

  permission
    com.scoredev.scores.HighScorePermission 
      "*", signedBy "chris";
};

密钥库条目

密钥库是密钥和证书的存储库，用于查找策略文件中指定的签名者的公钥（在本例中为"terry"和"chris"）。

keytool实用程序用于创建和管理密钥库。

对于本课程，假设 Kim 想玩ExampleGame。如果 Kim 的密钥库命名为kim.keystore，那么 Kim 的策略文件需要在开头加上以下行：

keystore "kim.keystore";

ExampleGame 条目

策略文件条目指定了特定代码源的一个或多个权限 - 来自特定位置（URL）的代码，或者由特定实体签名的代码，或两者兼有。

我们的策略文件需要为每个游戏添加一个条目，为该游戏的创建者签名的代码授予一个名为HighScorePermission的权限，其名称为游戏名称。该权限允许游戏调用HighScore方法来获取或更新该特定游戏用户的最高分值。

为ExampleGame所需的条目是：

grant SignedBy "terry" {
    permission
        com.scoredev.scores.HighScorePermission 
            "ExampleGame", signedBy "chris";
};

要求ExampleGame由"terry"签名使 Kim 知道该游戏是 Terry 开发的实际游戏。为了使其工作，Kim 必须已经将 Terry 的公钥证书存储到kim.keystore中，别名为"terry"。

注意，HighScorePermission需要由实际实现该权限的"chris"签名，以确保ExampleGame被授予由"chris"实现的实际权限，而不是其他人。与之前一样，为了使其工作，Kim 必须已经将 Chris 的公钥证书存储到kim.keystore中，别名为"chris"。

最高分条目

策略文件中的最后一个条目授予HighScore 类权限。更具体地说，它授予由"chris"签名的代码权限，他创建并签署了这个类。要求类由"chris"签名确保当ExampleGame 调用这个类来更新用户的高分时，ExampleGame 确切知道它正在使用由"chris"实现的原始类。

要更新调用它的任何游戏的用户高分值，HighScore 类需要三个权限：

1. 读取"user.home"属性值的权限。

HighScore 类将用户的高分值存储在用户主目录中的.highscore文件中。因此，这个类需要一个java.util.PropertyPermission，允许它读取"user.home"属性值，以确定用户主目录的确切位置：

permission java.util.PropertyPermission 
    "user.home", "read";

2. 读写高分文件本身的权限。

这个权限是为了让HighScore 的getHighScore 和 setHighScore 方法可以访问用户的.highscore文件，分别获取或设置当前游戏的当前高分。

这是所需的权限：

permission java.io.FilePermission
    "${user.home}${/}.highscore", "read,write";

注意：${propName} 表示属性的值。因此，${user.home} 将被"user.home"属性的值替换。${/} 表示文件分隔符的平台无关方式。

3. 所有 HighScorePermissions（即任何名称的 HighScorePermissions）。

这个权限是为了确保HighScore 检查调用游戏是否被授予了一个名为游戏名称的HighScorePermission。也就是说，HighScore 类必须同样被授予权限，因为权限检查要求堆栈上的所有代码都具有指定的权限。

这是所需的权限：

permission com.scoredev.scores.HighScorePermission
    "*", signedBy "chris";

与以前一样，HighScorePermission 本身需要由实际实现权限的"chris"签名。

将所有内容整合在一起

原文：docs.oracle.com/javase/tutorial/security/userperm/together.html

在这里，我们模拟依次成为HighScore开发者（克里斯），ExampleGame开发者（特里），以及运行游戏的用户（金）。

您可以执行所有指定的步骤，然后（作为金的最后一步）运行ExampleGame。

这些步骤没有解释。关于代码签名者（如克里斯和特里）和接收此类代码的人（如金）需要采取的进一步信息，请参阅签署代码并授予权限课程。

这里是步骤：

• HighScore 开发者（克里斯）的步骤

• ExampleGame 开发者（特里）的步骤

• 运行 ExampleGame 的用户（金）的步骤

高分开发者（克里斯）的步骤

原文：docs.oracle.com/javase/tutorial/security/userperm/chris.html

克里斯在创建HighScore和HighScorePermission类之后将采取的步骤是：

编译这些类

javac HighScore*.java -d .

将类文件放入一个 JAR 文件中

jar cvf hs.jar com/scoredev/scores/HighScore*.class

创建用于签名的密钥库和密钥

keytool -genkey -keystore chris.keystore -alias signJars

指定密码和显著名称信息

签署 JAR 文件

jarsigner -keystore chris.keystore hs.jar signJars

导出公钥证书

keytool -export -keystore chris.keystore
    -alias signJars -file Chris.cer

提供游戏开发人员和用户所需的文件和信息

也就是说，提供它们

• 签名的 JAR 文件hs.jar，

• 公钥证书文件Chris.cer，

• HighScore和HighScorePermission类在策略文件中必须被授予的权限信息，以便能够正常工作。对于这一点，克里斯可以提供所需的确切授权条目。

示例游戏开发者（Terry）的步骤

原文：docs.oracle.com/javase/tutorial/security/userperm/terry.html

Terry 创建一个调用 HighScore 的 getHighScore 和 setHighScore 方法来获取和设置用户高分的游戏（ExampleGame）后，Terry 需要采取的步骤是：

编译游戏类

javac ExampleGame.java -classpath hs.jar -d .

将其类文件放入一个 JAR 文件中

jar cvf terry.jar com/gamedev/games/ExampleGame.class

创建用于签名的密钥库和密钥

keytool -genkey -keystore terry.keystore -alias signTJars

为密码和区分名称信息指定任何你想要的内容。

签署 JAR 文件

jarsigner -keystore terry.keystore terry.jar signTJars

导出公钥证书

keytool -export -keystore terry.keystore
    -alias signTJars -file Terry.cer

为用户提供所需的文件和信息

也就是说，向他们提供

• 签名的 JAR 文件 terry.jar,

• 公钥证书文件 Terry.cer, 和

• ExampleGame 类所需权限的信息。对于这一点，Terry 可能会提供所需的确切授权条目。

游戏用户还需要来自 Chris 的文件和信息。为了方便他们，Terry 可能会将这些信息转发给他们：

• 签名的 JAR 文件 hs.jar,

• 公钥证书文件 Chris.cer, 和

• 有关 HighScore 和 HighScorePermission 类在策略文件中必须被授予的权限的信息，以便其正常工作。这可能是所需的确切授权条目。

运行 ExampleGame（Kim）的用户步骤

原文：docs.oracle.com/javase/tutorial/security/userperm/kim.html

用户（比如 Kim）需要执行的步骤包括：

将证书导入为受信任的证书

keytool -import -alias chris -file Chris.cer -keystore kim.keystore
keytool -import -alias terry -file Terry.cer -keystore kim.keystore

设置具有所需权限的策略文件

这里是完整的kim.policy策略文件，如 A Sample Policy File 中所述。

运行 ExampleGame

设置高分：

java -Djava.security.manager 
    -Djava.security.policy=kim.policy
    -classpath hs.jar;terry.jar
    com.gamedev.games.ExampleGame set 456

获取高分：

java -Djava.security.manager
    -Djava.security.policy=kim.policy
    -classpath hs.jar;terry.jar
    com.gamedev.games.ExampleGame get

注意：

• 如果不指定-Djava.security.manager，应用程序将无限制地运行（策略文件和权限不会被检查）。

• -Djava.security.policy=kim.policy指定了策略文件的位置。注意：还有其他指定策略文件的方法。例如，你可以在安全属性文件中添加一个条目，指定包含kim.policy，如在查看策略文件效果课程末尾讨论的那样。

• -classpath hs.jar;terry.jar指定了包含所需类文件的 JAR 文件。对于 Windows，使用分号（";"）分隔 JAR 文件；对于 UNIX，使用冒号（":"）。

• 策略文件kim.policy指定了密钥库kim.keystore。由于未提供密钥库的绝对 URL 位置，因此假定密钥库与策略文件位于同一目录中。

教程：扩展机制

原文：docs.oracle.com/javase/tutorial/ext/index.html

扩展机制提供了一种标准、可扩展的方式，使自定义 API 对在 Java 平台上运行的所有应用程序可用。Java 扩展也被称为可选包。本教程可能会交替使用这两个术语。

扩展是通过扩展机制增强 Java 平台的一组包和类。扩展机制使运行时环境能够找到并加载扩展类，而无需在类路径上命名扩展类。在这方面，扩展类类似于 Java 平台的核心类。这也是扩展得名的原因--它们实际上扩展了平台的核心 API。

由于此机制扩展了平台的核心 API，应谨慎使用。最常见的用途是用于由 Java 社区流程定义的标准化接口，尽管也可能适用于站点范围接口。

如图所示，扩展充当 Java 平台的“附加”模块。它们的类和公共 API 自动对在平台上运行的任何应用程序可用。

扩展机制还提供了一种从远程位置下载扩展类供 applets 使用的方法。

扩展被打包为 Java 存档（JAR）文件，本教程假定您熟悉 JAR 文件格式。如果您对 JAR 文件不熟悉，您可能需要在继续本教程的课程之前查阅一些 JAR 文件文档：

• 本教程中的在 JAR 文件中打包程序课程。

• JDK™文档中的JAR 指南。

本教程有两个课程：

创建和使用扩展

这一部分向您展示了如何向您的 Java 平台添加扩展，并且 applets 如何通过下载远程扩展类从扩展机制中受益。

使扩展安全

本节描述了在您的平台上授予扩展的安全特权和权限。如果您正在编写自己的扩展类，您将了解如何使用 Java 平台的安全架构。

附加文档

您可以在 JDK 文档的Java 扩展机制部分找到有关扩展的更多信息。

教程：创建和使用扩展

原文：docs.oracle.com/javase/tutorial/ext/basics/index.html

任何一组包或类都可以轻松地扮演扩展的角色。将一组类转变为扩展的第一步是将它们打包在一个 JAR 文件中。完成这一步后，您可以通过两种方式将软件转变为扩展：

• 通过将 JAR 文件放置在 Java 运行时环境目录结构的特定位置，这种情况下称为已安装扩展。

• 通过以特定方式从另一个 JAR 文件的清单中引用 JAR 文件，这种情况下称为下载扩展。

本课将通过使用一个简单的“玩具”扩展作为示例来展示扩展机制的工作原理。

已安装扩展

在本节中，您将创建一个简单的已安装扩展，并看到扩展软件如何被运行时环境视为平台的一部分。

下载扩展

本节将向您展示如何修改 JAR 文件的清单，以便 JAR 打包的软件可以利用下载扩展。

理解扩展类加载

本节是一个简短的插曲，总结了 Java 平台的类加载委托模型，并展示了它与扩展中类加载的关系。

创建可扩展应用程序

本节讨论了用于扩展应用程序的机制，通过插件或模块，而无需修改其原始代码库。

下一课，使扩展安全 使用相同的扩展来展示 Java 平台如何控制授予扩展的安全权限。

已安装的扩展

原文：docs.oracle.com/javase/tutorial/ext/basics/install.html

已安装的扩展是 JRE™软件的lib/ext目录中的 JAR 文件。顾名思义，JRE 是 Java 开发工具包的运行时部分，包含平台的核心 API，但不包括编译器和调试器等开发工具。JRE 可以单独使用，也可以作为 Java 开发工具包的一部分使用。

JRE 是 JDK 软件的严格子集。JDK 软件目录树的子集如下所示：

JRE 由图中突出显示的目录组成。无论您的 JRE 是独立的还是作为 JDK 软件的一部分，JRE 目录中的lib/ext中的任何 JAR 文件都会被运行时环境自动视为扩展。

由于安装的扩展会扩展平台的核心 API，请谨慎使用。它们很少适用于仅由单个或少量应用程序使用的接口。

此外，由于安装的扩展定义的符号将在所有 Java 进程中可见，因此应注意确保所有可见符号遵循适当的“反向域名”和“类层次结构”约定。例如，com.mycompany.MyClass。

从 Java 6 开始，扩展 JAR 文件也可以放置在与任何特定 JRE 无关的位置，以便扩展可以被安装在系统上安装的所有 JRE 共享。在 Java 6 之前，java.ext.dirs的值指的是单个目录，但是从 Java 6 开始，它是一个目录列表（类似于CLASSPATH），指定扩展被搜索的位置。路径的第一个元素始终是 JRE 的lib/ext目录。第二个元素是 JRE 之外的目录。这个其他位置允许扩展 JAR 文件只安装一次，并被安装在该系统上安装的几个 JRE 使用。位置因操作系统而异：

• Solaris™操作系统: /usr/jdk/packages/lib/ext

• Linux: /usr/java/packages/lib/ext

• Microsoft Windows: %SystemRoot%\Sun\Java\lib\ext

请注意，放置在上述任一目录中的安装扩展会扩展该系统上每个JRE（Java 6 或更高版本）的平台。

一个简单的例子

让我们创建一个简单的已安装扩展。我们的扩展由一个类RectangleArea组成，用于计算矩形的面积：

public final class RectangleArea {
    public static int area(java.awt.Rectangle r) {
        return r.width * r.height;
    }
}

此类有一个名为area的方法，该方法接受一个java.awt.Rectangle的实例并返回矩形的面积。

假设你想要使用名为AreaApp的应用程序测试RectangleArea：

import java.awt.*;

public class AreaApp {
    public static void main(String[] args) {
        int width = 10;
        int height = 5;

        Rectangle r = new Rectangle(width, height);
        System.out.println("The rectangle's area is " 
                           + RectangleArea.area(r));
    }
}

此应用程序实例化一个 10 x 5 的矩形，然后使用RectangleArea.area方法打印出矩形的面积。

在没有扩展机制的情况下运行 AreaApp

让我们首先回顾一下如何在不使用扩展机制的情况下运行AreaApp应用程序。我们假设RectangleArea类被捆绑在名为area.jar的 JAR 文件中。

当然，RectangleArea类不是 Java 平台的一部分，因此您需要将area.jar文件放在类路径上才能运行AreaApp而不会出现运行时异常。例如，如果area.jar在目录/home/user中，您可以使用以下命令：

java -classpath .:/home/user/area.jar AreaApp 

此命令中指定的类路径包含当前目录，其中包含AreaApp.class，以及包含RectangleArea包的 JAR 文件的路径。通过运行此命令，您将获得所需的输出：

The rectangle's area is 50

使用扩展机制运行 AreaApp

现在让我们看看如何通过将RectangleArea类作为扩展来运行AreaApp。

要将RectangleArea类变成一个扩展，您需要将文件area.jar放在 JRE 的lib/ext目录中。这样做会自动将RectangleArea赋予已安装扩展的状态。

将area.jar安装为扩展后，您可以运行AreaApp而无需指定类路径：

java AreaApp 

因为您正在使用area.jar作为已安装的扩展，运行时环境将能够找到并加载RectangleArea类，即使您没有在类路径上指定它。同样，任何用户在您的系统上运行的小程序或应用程序都可以找到并使用RectangleArea类。

如果系统上安装了多个 JRE（Java 6 或更高版本），并且希望RectangleArea类作为所有 JRE 的扩展可用，而不是将其安装在特定 JRE 的lib/ext目录中，请将其安装在系统范围的位置。例如，在运行 Linux 的系统上，将area.jar安装在目录/usr/java/packages/lib/ext中。然后AreaApp可以在安装在该系统上的不同 JRE 上运行，例如，如果不同的浏览器配置为使用不同的 JRE。

下载扩展

原文：docs.oracle.com/javase/tutorial/ext/basics/download.html

下载扩展是 JAR 文件中的一组类（和相关资源）。JAR 文件的清单可以包含引用一个或多个下载扩展的头部。这些扩展可以通过以下两种方式引用：

• 通过Class-Path头部

• 通过Extension-List头部

请注意，清单中最多只允许一个。通过Class-Path头部指示的下载扩展仅在下载它们的应用程序（如 Web 浏览器）的生命周期内下载。它们的优点是客户端上没有安装任何内容；缺点是每次需要时都会下载它们。通过Extension-List头部下载的下载扩展将安装到下载它们的 JRE 的/lib/ext目录中。它们的优点是第一次需要时下载，随后可以在不下载的情况下使用。但是，正如本教程后面所示，它们部署起来更加复杂。

由于使用Class-Path头部的下载扩展更简单，让我们先考虑它们。例如假设a.jar和b.jar是同一目录中的两个 JAR 文件，并且a.jar的清单包含了这个头部：

Class-Path: b.jar

那么b.jar中的类将作为a.jar中的类的扩展类。a.jar中的类可以调用b.jar中的类，而无需将b.jar中的类命名在类路径中。a.jar本身可能是扩展，也可能不是。如果b.jar不在与a.jar相同的目录中，那么Class-Path头部的值应设置为b.jar的相对路径名。

扮演下载扩展角色的类没有任何特殊之处。它们之所以被视为扩展，仅仅是因为它们被某个其他 JAR 文件的清单引用。

为了更好地理解下载扩展的工作原理，让我们创建一个并投入使用。

一个示例

假设你想要创建一个小程序，其中使用了前一节中的RectangleArea类：

public final class RectangleArea {  
    public static int area(java.awt.Rectangle r) {
        return r.width * r.height;
    }
}

在前一节中，你将RectangleArea类放入 JRE 的lib/ext目录中，将其转换为已安装扩展。通过将其转换为已安装扩展，任何应用程序都可以使用RectangleArea类，就好像它是 Java 平台的一部分。

如果你想要在小程序中使用RectangleArea类，情况会有些不同。例如，假设你有一个名为AreaApplet的小程序，其中使用了RectangleArea类：

import java.applet.Applet;
import java.awt.*;

public class AreaApplet extends Applet {
    Rectangle r;

    public void init() {    
        int width = 10;
        int height = 5;

        r = new Rectangle(width, height);
    }

    public void paint(Graphics g) {
        g.drawString("The rectangle's area is " 
                      + RectangleArea.area(r), 10, 10);
    }
}

此小程序实例化一个 10 x 5 的矩形，然后使用RectangleArea.area方法显示矩形的面积。

然而，你不能假设每个下载并使用你的小程序的人都会在他们的系统上有RectangleArea类可用，作为已安装的扩展或其他方式。解决这个问题的一种方法是从服务器端提供RectangleArea类，并且你可以通过将其作为下载扩展来实现。

要了解如何做到这一点，让我们假设你已经将AreaApplet捆绑在名为AreaApplet.jar的 JAR 文件中，并且类RectangleArea捆绑在RectangleArea.jar中。为了使RectangleArea.jar被视为下载扩展，RectangleArea.jar必须在AreaApplet.jar的清单中的Class-Path头中列出。例如，AreaApplet.jar的清单可能如下所示：

Manifest-Version: 1.0
Class-Path: RectangleArea.jar

这个清单中Class-Path头的值是RectangleArea.jar，没有指定路径，表示RectangleArea.jar位于与小程序的 JAR 文件相同的目录中。

关于Class-Path头的更多信息

如果一个小程序或应用程序使用多个扩展，你可以在清单中列出多个 URL。例如，以下是一个有效的头部：

Class-Path: area.jar servlet.jar images/

在Class-Path头中，列出的任何不以'/'结尾的 URL 都被假定为 JAR 文件。以'/'结尾的 URL 表示目录。在上面的例子中，images/可能是一个包含小程序或应用程序所需资源的目录。

请注意，清单文件中只允许一个Class-Path头，并且清单中的每一行不能超过 72 个字符。如果需要指定的类路径条目超过一行的空间，可以将它们延伸到后续的续行上。每个续行都以两个空格开头。例如：

Class-Path: area.jar servlet.jar monitor.jar datasource.jar
  provider.jar gui.jar

未来的版本可能会取消每个标题只能有一个实例的限制，以及将行限制为仅有 72 个字符。

下载扩展可以“串联”，意味着一个下载扩展的清单可以有一个引用第二个扩展的Class-Path头，第二个扩展可以引用第三个扩展，依此类推。

安装下载扩展

在上面的例子中，小程序下载的扩展仅在加载小程序的浏览器仍在运行时可用。然而，如果在小程序和扩展的清单中包含了额外的信息，小程序可以触发扩展的安装。

由于这种机制扩展了平台的核心 API，其使用应谨慎。它很少适用于仅由单个或少量应用程序使用的接口。所有可见的符号应遵循反向域名和类层次结构约定。

基本要求是小程序和它使用的扩展在它们的清单中提供版本信息，并且它们被签名。版本信息允许 Java 插件确保扩展代码具有小程序期望的版本。例如，AreaApplet可以在其清单中指定一个areatest扩展：

Manifest-Version: 1.0
Extension-List: areatest
areatest-Extension-Name: area
areatest-Specification-Version: 1.1
areatest-Implementation-Version: 1.1.2
areatest-Implementation-Vendor-Id: com.example
areatest-Implementation-URL: http://www.example.com/test/area.jar

area.jar中的清单将提供相应的信息：

Manifest-Version: 1.0
Extension-Name: area
Specification-Vendor: Example Tech, Inc
Specification-Version: 1.1
Implementation-Vendor-Id: com.example
Implementation-Vendor: Example Tech, Inc
Implementation-Version: 1.1.2

应用程序和扩展程序都必须由相同的签名者签名。对 jar 文件进行签名会直接修改它们，在清单文件中提供更多信息。签名有助于确保只有可信任的代码被安装。签署 jar 文件的简单方法是首先创建一个密钥库，然后使用该密钥库保存用于应用程序和扩展程序的证书。例如：

keytool -genkey -dname "cn=Fred" -alias test  -validity 180

您将被要求输入密钥库和密钥密码。生成密钥后，jar 文件可以被签名：

jarsigner AreaApplet.jar test
jarsigner area.jar test

您将被要求输入密钥库和密钥密码。有关keytool、jarsigner和其他安全工具的更多信息，请参阅Java 2 平台安全工具概述。

这里是AreaDemo.html，它加载应用程序并导致扩展程序代码被下载并安装：

<html>
<body>
  <applet code="AreaApplet.class" archive="AreaApplet.jar"/>
</body>
</html>

当页面首次加载时，用户会被告知该应用程序需要安装扩展程序。随后的对话框会通知用户有关已签名的应用程序。接受两者会将扩展程序安装在 JRE 的lib/ext文件夹中并运行应用程序。

重新启动 Web 浏览器并加载相同的网页后，只会显示有关应用程序签名者的对话框，因为area.jar已经安装。如果在不同的 Web 浏览器中打开AreaDemo.html（假设两个浏览器都使用相同的 JRE），情况也是如此。

理解扩展类加载

译文：docs.oracle.com/javase/tutorial/ext/basics/load.html

扩展框架利用了类加载委托机制。当运行时环境需要为应用程序加载新类时，它按照以下顺序在以下位置查找类：

1. 引导类：rt.jar中的运行时类，i18n.jar中的国际化类等。

2. 已安装扩展：JRE 的lib/ext目录中的 JAR 文件中的类，以及系统范围内的特定于平台的扩展目录（例如在 Solaris™操作系统上的/usr/jdk/packages/lib/ext，但请注意，此目录仅适用于 Java™ 6 及更高版本）。

3. 类路径：包括系统属性java.class.path指定路径上的类，包括 JAR 文件中的类。如果类路径上的 JAR 文件具有带有Class-Path属性的清单，则还将搜索Class-Path属性指定的 JAR 文件。默认情况下，java.class.path属性的值为.，即当前目录。您可以通过使用-classpath或-cp命令行选项或设置CLASSPATH环境变量来更改该值。命令行选项会覆盖CLASSPATH环境变量的设置。

优先级列表告诉您，例如，只有在要加载的类在rt.jar、i18n.jar或已安装扩展中的类中未找到时，才会搜索类路径。

除非您的软件为特殊目的实例化自己的类加载器，否则您实际上不需要了解比记住这个优先级列表更多的内容。特别是，您应该注意可能存在的任何类名冲突。例如，如果您在类路径上列出一个类，如果运行时环境代替加载了安装的扩展中找到的同名另一个类，您将得到意外的结果。

Java 类加载机制

Java 平台使用委托模型来加载类。基本思想是每个类加载器都有一个“父”类加载器。在加载类时，类加载器首先将类的搜索委托给其父类加载器，然后再尝试找到类本身。

以下是类加载 API 的一些亮点：

• java.lang.ClassLoader及其子类中的构造函数允许您在实例化新类加载器时指定一个父类加载器。如果您没有明确指定父类加载器，则虚拟机的系统类加载器将被分配为默认父类加载器。

• 当调用ClassLoader中的loadClass方法加载类时，它按顺序执行以下任务：

  1. 如果类已经被加载，它会返回该类。

  2. 否则，它将搜索新类的任务委托给父类加载器。

  3. 如果父类加载器未找到类，loadClass调用findClass方法来查找和加载类。

• 如果父类加载器未找到类，则ClassLoader的findClass方法将在当前类加载器中搜索该类。当您在应用程序中实例化类加载器子类时，可能需要重写此方法。

• 类java.net.URLClassLoader用作扩展和其他 JAR 文件的基本类加载器，覆盖了java.lang.ClassLoader的findClass方法，以在一个或多个指定的 URL 中搜索类和资源。

要查看一个使用与 JAR 文件相关的 API 的示例应用程序，请参阅本教程中的使用与 JAR 相关的 API 课程。

类加载和java命令

Java 平台的类加载机制体现在java命令中。

• 在java工具中，-classpath选项是设置java.class.path属性的简便方式。

• -cp和-classpath选项是等效的。

• -jar选项用于运行打包在 JAR 文件中的应用程序。有关此选项的描述和示例，请参阅本教程中的运行 JAR 打包软件课程。

创建可扩展应用程序

原文：docs.oracle.com/javase/tutorial/ext/basics/spi.html

下面涵盖了以下主题：

• 介绍

• 字典服务示例

• 运行 DictionaryServiceDemo 示例

• 编译和运行 DictionaryServiceDemo 示例

• 理解 DictionaryServiceDemo 示例

  1. 定义服务提供者接口

  2. 定义检索服务提供者实现的服务

     • 单例设计模式

  3. 实现服务提供者

  4. 注册服务提供者

  5. 创建使用服务和服务提供者的客户端

  6. 将服务提供者、服务和服务客户端打包在 JAR 文件中

     • 将服务提供者打包在 JAR 文件中

     • 将字典 SPI 和字典服务打包在 JAR 文件中

     • 将客户端打包在 JAR 文件中

  7. 运行客户端

• ServiceLoader 类

• ServiceLoader API 的限制

• 摘要

介绍

可扩展的应用程序是一种可以在不修改其原始代码基础的情况下扩展的应用程序。您可以通过添加新的插件或模块来增强其功能。开发人员、软件供应商和客户可以通过将新的 Java 存档（JAR）文件添加到应用程序类路径或应用程序特定的扩展目录中来添加新功能或应用程序编程接口（API）。

本节描述了如何创建具有可扩展服务的应用程序，这使您或其他人可以提供不需要修改原始应用程序的服务实现。通过设计一个可扩展的应用程序，您提供了一种升级或增强产品特定部分而无需更改核心应用程序的方法。

可扩展应用程序的一个示例是允许最终用户添加新字典或拼写检查器的文字处理器。在这个示例中，文字处理器提供了一个字典或拼写功能，其他开发人员甚至客户可以通过提供自己的功能实现来扩展该功能。

以下是理解可扩展应用程序重要的术语和定义：

服务

一组编程接口和类，提供对某些特定应用功能或特性的访问。服务可以定义功能的接口和检索实现的方法。在文字处理器示例中，字典服务可以定义检索字典和单词定义的方法，但不实现底层功能集。相反，它依赖于服务提供者来实现该功能。

服务提供者接口（SPI）

服务定义的一组公共接口和抽象类。SPI 定义了应用程序可用的类和方法。

服务提供者

实现 SPI。具有可扩展服务的应用程序使您、供应商和客户能够添加服务提供者，而无需修改原始应用程序。

字典服务示例

考虑如何在文字处理器或编辑器中设计一个字典服务。一种方法是定义一个由类DictionaryService和服务提供者接口Dictionary表示的服务。DictionaryService提供一个单例DictionaryService对象。（有关更多信息，请参见单例设计模式部分。）此对象从Dictionary提供者那里检索单词的定义。字典服务客户端——您的应用代码——检索此服务的一个实例，服务将搜索、实例化和使用Dictionary服务提供者。

尽管文字处理器开发人员很可能会在原始产品中提供一个基本的通用字典，但客户可能需要一个包含法律或技术术语的专业字典。理想情况下，客户能够创建或购买新的字典并将其添加到现有应用程序中。

DictionaryServiceDemo示例向您展示如何实现Dictionary服务，创建添加额外字典的Dictionary服务提供者，并创建一个简单的Dictionary服务客户端来测试该服务。此示例打包在 zip 文件DictionaryServiceDemo.zip中，包括以下文件：

• build.xml

• DictionaryDemo

  • build.xml

  • build

  • dist

    • DictionaryDemo.jar

  • src

    • dictionary

      • DictionaryDemo.java

• DictionaryServiceProvider

  • build.xml

  • build

  • dist

    • DictionaryServiceProvider.jar

  • src

    • dictionary

      • DictionaryService.java

      • spi

        • Dictionary.java

• ExtendedDictionary

  • build.xml

  • build

  • dist

    • ExtendedDictionary.jar

  • src

    • dictionary

      • ExtendedDictionary.java

    • META-INF

      • services

        • dictionary.spi.Dictionary

• GeneralDictionary

  • build.xml

  • build

  • dist

    • GeneralDictionary.jar

  • src

    • dictionary

      • GeneralDictionary.java

    • META-INF

      • services

        • dictionary.spi.Dictionary

注意：build目录包含与src目录中的 Java 源文件相同级别的编译后的类文件。

运行DictionaryServiceDemo示例

因为 zip 文件DictionaryServiceDemo.zip包含编译后的类文件，您可以将此文件解压缩到计算机上，并按照以下步骤运行示例而无需编译：

1. 下载并解压缩示例代码：将文件DictionaryServiceDemo.zip下载并解压缩到计算机上。这些步骤假定您已将此文件的内容解压缩到目录C:\DictionaryServiceDemo中。

2. 将当前目录更改为C:\DictionaryServiceDemo\DictionaryDemo，并按照步骤运行客户端进行操作。

编译和运行DictionaryServiceDemo示例

DictionaryServiceDemo示例包含 Apache Ant 构建文件，全部命名为build.xml。以下步骤展示了如何使用 Apache Ant 编译、构建和运行DictionaryServiceDemo示例：

1. 安装 Apache Ant：前往以下链接下载并安装 Apache Ant：

   [ant.apache.org/](http://ant.apache.org/)

   确保包含 Apache Ant 可执行文件的目录在您的PATH环境变量中，以便您可以从任何目录运行它。此外，请确保您的 JDK 的bin目录，其中包含java和javac可执行文件（对于 Microsoft Windows 为java.exe和javac.exe），在您的PATH环境变量中。有关设置PATH环境变量的信息，请参阅 PATH and CLASSPATH。

2. 下载并解压缩示例代码：将文件DictionaryServiceDemo.zip下载并解压缩到计算机上。这些步骤假定您已将此文件的内容解压缩到目录C:\DictionaryServiceDemo中。

3. 编译代码：将当前目录更改为C:\DictionaryServiceDemo，并运行以下命令：

   ant compile-all
   

   此命令编译了DictionaryDemo、DictionaryServiceProvider、ExtendedDictionary和GeneralDictionary目录中包含的src目录中的源代码，并将生成的class文件放入相应的build目录中。

4. 将编译后的 Java 文件打包成 JAR 文件：确保当前目录为C:\DictionaryServiceDemo，然后运行以下命令：

   ant jar
   

   此命令创建以下 JAR 文件：

   • DictionaryDemo/dist/DictionaryDemo.jar

   • DictionaryServiceProvider/dist/DictionaryServiceProvider.jar

   • GeneralDictionary/dist/GeneralDictionary.jar

   • ExtendedDictionary/dist/ExtendedDictionary.jar

5. 运行示例：确保包含java可执行文件的目录在您的PATH环境变量中。有关更多信息，请参阅 PATH 和 CLASSPATH。

   将当前目录更改为C:\DictionaryServiceDemo\DictionaryDemo，然后运行以下命令：

   ant run
   

   该示例打印以下内容：

   book: a set of written or printed pages, usually bound with a protective cover

   编辑者：一个编辑文档的人

   xml：一种经常用于 Web 服务等的文档标准

   REST：一种用于创建、读取、更新和删除数据的架构风格，试图使用 HTTP 协议的常见词汇；表述性状态转移

理解 DictionaryServiceDemo 示例

以下步骤向您展示如何重新创建文件DictionaryServiceDemo.zip的内容。这些步骤向您展示示例的工作原理以及如何运行它。

1. 定义服务提供者接口

DictionaryServiceDemo示例定义了一个 SPI，即Dictionary.java接口。它只包含一个方法：

package dictionary.spi;

public interface Dictionary {
    public String getDefinition(String word);
}

该示例将编译后的类文件存储在DictionaryServiceProvider/build目录中。

2. 定义检索服务提供者实现的服务

DictionaryService.java类加载并访问可用的Dictionary服务提供者，代表字典服务客户端：

package dictionary;

import dictionary.spi.Dictionary;
import java.util.Iterator;
import java.util.ServiceConfigurationError;
import java.util.ServiceLoader;

public class DictionaryService {

    private static DictionaryService service;
    private ServiceLoader<Dictionary> loader;

    private DictionaryService() {
        loader = ServiceLoader.load(Dictionary.class);
    }

    public static synchronized DictionaryService getInstance() {
        if (service == null) {
            service = new DictionaryService();
        }
        return service;
    }

    public String getDefinition(String word) {
        String definition = null;

        try {
            Iterator<Dictionary> dictionaries = loader.iterator();
            while (definition == null && dictionaries.hasNext()) {
                Dictionary d = dictionaries.next();
                definition = d.getDefinition(word);
            }
        } catch (ServiceConfigurationError serviceError) {
            definition = null;
            serviceError.printStackTrace();

        }
        return definition;
    }
}

该示例将编译后的类文件存储在DictionaryServiceProvider/build目录中。

DictionaryService类实现了单例设计模式。这意味着DictionaryService类只会创建一个实例。有关更多信息，请参阅单例设计模式部分。

DictionaryService类是字典服务客户端使用任何已安装的Dictionary服务提供者的入口点。使用ServiceLoader.load方法来检索私有静态成员DictionaryService.service，单例服务入口点。然后应用程序可以调用getDefinition方法，该方法遍历可用的Dictionary提供者，直到找到目标词。如果没有Dictionary实例包含指定词的定义，则getDefinition方法返回 null。

字典服务使用ServiceLoader.load方法来查找目标类。SPI 由接口dictionary.spi.Dictionary定义，因此示例使用这个类作为 load 方法的参数。默认的 load 方法使用默认类加载器搜索应用程序类路径。

然而，这个方法的重载版本允许您指定自定义的类加载器。这使您能够进行更复杂的类搜索。一个特别热情的程序员可能会创建一个ClassLoader实例，可以在运行时添加包含提供者 JAR 的应用程序特定子目录中进行搜索。结果是一个应用程序不需要重新启动就可以访问新的提供者类。

当这个类的加载器存在后，您可以使用它的迭代器方法来访问和使用它找到的每个提供者。getDefinition方法使用Dictionary迭代器来遍历提供者，直到找到指定词的定义。迭代器方法缓存Dictionary实例，因此连续调用需要很少的额外处理时间。如果自上次调用以来已经投入使用新的提供者，则迭代器方法将它们添加到列表中。

DictionaryDemo.java 类使用这个服务。要使用该服务，应用程序获取一个DictionaryService实例并调用getDefinition方法。如果有定义可用，应用程序将打印出来。如果没有定义可用，应用程序将打印一条消息，说明没有可用的字典包含这个词。

单例设计模式

设计模式是软件设计中常见问题的一般解决方案。思路是将解决方案转化为代码，并且该代码可以应用在不同的情况下。单例模式描述了一种技术，确保只创建一个类的实例。本质上，该技术采取以下方法：不要让类外部的任何人创建对象的实例。

例如，DictionaryService类实现了单例模式如下：

• 将DictionaryService构造函数声明为private，这样除了DictionaryService之外的所有其他类都无法创建它的实例。

• 将DictionaryService成员变量service声明为static，这确保只存在一个DictionaryService实例。

• 定义了getInstance方法，使其他类可以受控地访问DictionaryService成员变量service。

3. 实现服务提供程序

要提供此服务，您必须创建一个Dictionary.java的实现。为了保持简单，创建一个定义了几个词的通用词典。您可以使用数据库、一组属性文件或任何其他技术来实现词典。展示提供程序模式的最简单方法是在单个文件中包含所有单词和定义。

以下代码展示了Dictionary SPI 的一个实现，GeneralDictionary.java类。请注意，它提供了一个无参数构造函数，并实现了 SPI 定义的getDefinition方法。

package dictionary;

import dictionary.spi.Dictionary;
import java.util.SortedMap;
import java.util.TreeMap;

public class GeneralDictionary implements Dictionary {

    private SortedMap<String, String> map;

    public GeneralDictionary() {
        map = new TreeMap<String, String>();
        map.put(
            "book",
            "a set of written or printed pages, usually bound with " +
                "a protective cover");
        map.put(
            "editor",
            "a person who edits");
    }

    @Override
    public String getDefinition(String word) {
        return map.get(word);
    }

}

示例将编译后的类文件存储在目录GeneralDictionary/build中。注意：在类GeneralDictionary之前，您必须编译类dictionary.DictionaryService和dictionary.spi.Dictionary。

此示例的GeneralDictionary提供程序仅定义了两个词：book和editor。显然，一个更可用的词典将提供一个更实质的通用词汇列表。

为了演示多个提供程序如何实现相同的 SPI，以下代码展示了另一个可能的提供程序。ExtendedDictionary.java服务提供程序是一个包含大多数软件开发人员熟悉的技术术语的扩展词典。

package dictionary;

import dictionary.spi.Dictionary;
import java.util.SortedMap;
import java.util.TreeMap;

public class ExtendedDictionary implements Dictionary {

        private SortedMap<String, String> map;

    public ExtendedDictionary() {
        map = new TreeMap<String, String>();
        map.put(
            "xml",
            "a document standard often used in web services, among other " +
                "things");
        map.put(
            "REST",
            "an architecture style for creating, reading, updating, " +
                "and deleting data that attempts to use the common " +
                "vocabulary of the HTTP protocol; Representational State " +
                "Transfer");
    }

    @Override
    public String getDefinition(String word) {
        return map.get(word);
    }

}

示例将编译后的类文件存储在目录ExtendedDictionary/build中。注意：在类ExtendedDictionary之前，您必须编译类dictionary.DictionaryService和dictionary.spi.Dictionary。

很容易想象客户使用完整的Dictionary提供程序集来满足他们自己的特殊需求。服务加载器 API 使他们能够根据需要或偏好向其应用程序添加新的词典。由于底层的文字处理应用程序是可扩展的，因此客户无需编写额外的代码即可使用新的提供程序。

4. 注册服务提供程序

要注册您的服务提供者，需要创建一个提供者配置文件，该文件存储在服务提供者的 JAR 文件的 META-INF/services 目录中。配置文件的名称是服务提供者的完全限定类名，其中名称的每个组件由句点（.）分隔，嵌套类由美元符号（$）分隔。

提供者配置文件包含您的服务提供者的完全限定类名，每个名称占一行。该文件必须使用 UTF-8 编码。此外，您可以通过在注释行前面加上井号（#）来在文件中包含注释。

例如，要注册服务提供者 GeneralDictionary，创建一个名为 dictionary.spi.Dictionary 的文本文件。该文件包含一行：

dictionary.GeneralDictionary

类似地，要注册服务提供者 ExtendedDictionary，创建一个名为 dictionary.spi.Dictionary 的文本文件。该文件包含一行：

dictionary.ExtendedDictionary

5. 创建使用服务和服务提供者的客户端

因为开发完整的文字处理器应用程序是一项重大工作，本教程提供了一个更简单的应用程序，该应用程序使用 DictionaryService 和 Dictionary SPI。DictionaryDemo 示例从类路径上的任何 Dictionary 提供者中搜索单词 book、editor、xml 和 REST，并检索它们的定义。

以下是 DictionaryDemo 示例。它从 DictionaryService 实例请求目标单词的定义，然后将请求传递给已知的 Dictionary 提供者。

package dictionary;

import dictionary.DictionaryService;

public class DictionaryDemo {

  public static void main(String[] args) {

    DictionaryService dictionary = DictionaryService.getInstance();
    System.out.println(DictionaryDemo.lookup(dictionary, "book"));
    System.out.println(DictionaryDemo.lookup(dictionary, "editor"));
    System.out.println(DictionaryDemo.lookup(dictionary, "xml"));
    System.out.println(DictionaryDemo.lookup(dictionary, "REST"));
  }

  public static String lookup(DictionaryService dictionary, String word) {
    String outputString = word + ": ";
    String definition = dictionary.getDefinition(word);
    if (definition == null) {
      return outputString + "Cannot find definition for this word.";
    } else {
      return outputString + definition;
    }
  }
}

该示例将编译后的类文件存储在目录 DictionaryDemo/build 中。注意：在运行 DictionaryDemo 类之前，必须先编译类 dictionary.DictionaryService 和 dictionary.spi.Dictionary。

6. 将服务提供者、服务和服务客户端打包到 JAR 文件中

请参阅课程 在 JAR 文件中打包程序 了解如何创建 JAR 文件的信息。

在 JAR 文件中打包服务提供者

要打包 GeneralDictionary 服务提供者，创建一个名为 GeneralDictionary/dist/GeneralDictionary.jar 的 JAR 文件，其中包含此服务提供者的编译类文件和以下目录结构中的配置文件：

• META-INF

  • 服务

    • dictionary.spi.Dictionary

• dictionary

  • GeneralDictionary.class

类似地，要打包 ExtendedDictionary 服务提供者，创建一个名为 ExtendedDictionary/dist/ExtendedDictionary.jar 的 JAR 文件，其中包含此服务提供者的编译类文件和以下目录结构中的配置文件：

• META-INF

  • 服务

    • dictionary.spi.Dictionary

• dictionary

  • ExtendedDictionary.class

注意，提供者配置文件必须位于 JAR 文件中的META-INF/services目录中。

将 Dictionary SPI 和 Dictionary Service 打包成一个 JAR 文件

创建一个名为DictionaryServiceProvider/dist/DictionaryServiceProvider.jar的 JAR 文件，其中包含以下文件：

• dictionary

  • DictionaryService.class

  • spi

    • Dictionary.class

将客户端打包成一个 JAR 文件

创建一个名为DictionaryDemo/dist/DictionaryDemo.jar的 JAR 文件，其中包含以下文件：

• dictionary

  • DictionaryDemo.class

7. 运行客户端

以下命令运行带有GeneralDictionary服务提供者的DictionaryDemo示例：

Linux 和 Solaris:

java -Djava.ext.dirs=../DictionaryServiceProvider/dist:../GeneralDictionary/dist -cp dist/DictionaryDemo.jar dictionary.DictionaryDemo

Windows:

java -Djava.ext.dirs=..\DictionaryServiceProvider\dist;..\GeneralDictionary\dist -cp dist\DictionaryDemo.jar dictionary.DictionaryDemo

使用此命令时，假设以下情况：

• 当前目录是DictionaryDemo。

• 存在以下 JAR 文件：

  • DictionaryDemo/dist/DictionaryDemo.jar: 包含DictionaryDemo类

  • DictionaryServiceProvider/dist/DictionaryServiceProvider.jar: 包含Dictionary SPI 和DictionaryService类

  • GeneralDictionary/dist/GeneralDictionary.jar: 包含GeneralDictionary服务提供者和配置文件

该命令打印以下内容：

book: a set of written or printed pages, usually bound with a protective cover
editor: a person who edits
xml: Cannot find definition for this word.
REST: Cannot find definition for this word.

假设你运行以下命令并且ExtendedDictionary/dist/ExtendedDictionary.jar存在：

Linux 和 Solaris:

java -Djava.ext.dirs=../DictionaryServiceProvider/dist:../ExtendedDictionary/dist -cp dist/DictionaryDemo.jar dictionary.DictionaryDemo

Windows:

java -Djava.ext.dirs=..\DictionaryServiceProvider\dist;..\ExtendedDictionary\dist -cp dist\DictionaryDemo.jar dictionary.DictionaryDemo

该命令打印以下内容：

book: Cannot find definition for this word.
editor: Cannot find definition for this word.
xml: a document standard often used in web services, among other things
REST: an architecture style for creating, reading, updating, and deleting data that attempts to use the common vocabulary of the HTTP protocol; Representational State Transfer

ServiceLoader 类

java.util.ServiceLoader类帮助你查找、加载和使用服务提供者。它在应用程序的类路径或运行时环境的扩展目录中搜索服务提供者。它加载它们并使你的应用程序能够使用提供者的 API。如果你将新的提供者添加到类路径或运行时扩展目录中，ServiceLoader类会找到它们。如果你的应用程序知道提供者接口，它可以找到并使用该接口的不同实现。你可以使用接口的第一个可加载实例或遍历所有可用接口。

ServiceLoader类是 final 的，这意味着你不能将其作为子类或覆盖其加载算法。例如，你不能改变其算法以从不同位置搜索服务。

从ServiceLoader类的角度来看，所有服务都具有单一类型，通常是单一接口或抽象类。提供者本身包含一个或多个具体类，这些类扩展了服务类型，具有特定于其目的的实现。ServiceLoader类要求单个公开的提供者类型具有默认构造函数，不需要参数。这使得ServiceLoader类可以轻松实例化它找到的服务提供者。

提供者是按需定位和实例化的。服务加载器维护了已加载的提供者的缓存。加载器的iterator方法的每次调用都会返回一个迭代器，首先按实例化顺序产生缓存中的所有元素。然后，服务加载器会定位和实例化任何新的提供者，依次将每个提供者添加到缓存中。您可以使用reload方法清除提供者缓存。

要为特定类创建加载器，请将类本身提供给load或loadInstalled方法。您可以使用默认类加载器或提供自己的ClassLoader子类。

loadInstalled方法搜索已安装的运行时提供者的扩展目录。默认的扩展位置是您运行时环境的jre/lib/ext目录。您应该仅将扩展位置用于知名的、可信任的提供者，因为此位置将成为所有应用程序的类路径的一部分。在本文中，提供者不使用扩展目录，而是依赖于特定于应用程序的类路径。

ServiceLoader API 的局限性

ServiceLoader API 很有用，但也有局限性。例如，不可能从ServiceLoader类派生类，因此无法修改其行为。您可以使用自定义的ClassLoader子类来更改类的查找方式，但ServiceLoader本身无法扩展。此外，当前的ServiceLoader类无法告诉您的应用程序运行时何时有新的提供者可用。此外，您无法向加载器添加更改侦听器，以查找新提供者是否放置在特定于应用程序的扩展目录中。

公共的ServiceLoader API 在 Java SE 6 中可用。虽然加载器服务早在 JDK 1.3 时就存在，但 API 是私有的，只对内部 Java 运行时代码可用。

摘要

可扩展的应用程序提供了可以由服务提供者扩展的服务点。创建可扩展应用程序的最简单方法是使用ServiceLoader，该工具适用于 Java SE 6 及更高版本。使用这个类，您可以将提供者实现添加到应用程序类路径中，以提供新功能。ServiceLoader类是 final 的，因此您无法修改其功能。

课程：使扩展安全

原文：docs.oracle.com/javase/tutorial/ext/security/index.html

现在您已经了解如何使用扩展，您可能想知道扩展具有哪些安全权限。例如，如果您正在开发一个涉及文件 I/O 的扩展，您需要了解如何为读写文件授予适当的权限。相反，如果您考虑使用他人开发的扩展，您将希望清楚地了解扩展具有哪些安全权限，以及如何在需要时更改这些权限。

本课程向您展示了 Java™ 平台的安全架构如何处理扩展。您将了解到如何查看授予扩展软件的权限，并学会通过一些简单的步骤修改扩展权限。此外，您还将学习如何封装扩展中的包，以限制对代码指定部分的访问。

本课程分为两个部分：

为扩展设置权限

本节包含一些示例，展示了扩展必须满足哪些条件才能被授予权限执行安全敏感操作。

封装扩展中的包

您可以选择在扩展 JAR 文件中封装包作为额外的安全措施。如果一个包被封装，这意味着该包中定义的所有类必须来自一个单独的 JAR 文件。本节将向您展示如何修改扩展清单以封装扩展包。

附加文档

您将在本课程的适当位置找到与安全相关的链接和参考文档。

要获取有关安全的完整信息，您可以参考以下内容：

• Java SE 中的安全功能教程（在本教程中）

• 安全指南

为扩展设置权限

原文：docs.oracle.com/javase/tutorial/ext/security/policy.html

如果有安全管理器生效，那么必须满足以下条件，以使任何软件，包括扩展软件，能够执行安全敏感操作：

• 扩展中的安全敏感代码必须包装在PrivilegedAction对象中。

• 安全管理器实施的安全策略必须授予扩展适当的权限。默认情况下，安装的扩展被授予所有安全权限，就好像它们是核心平台 API 的一部分。安全策略授予的权限仅适用于包装在PrivilegedAction实例中的代码。

让我们更详细地看一下这些条件，附带一些示例。

使用PrivilegedAction类

假设你想要修改上一课程示例中扩展示例中的RectangleArea类，将矩形面积写入文件而不是标准输出。然而，向文件写入是一个涉及安全的操作，因此如果你的软件将在安全管理器下运行，你需要将你的代码标记为特权代码。你需要执行两个步骤来实现这一点：

1. 你需要将执行安全敏感操作的代码放在类型为java.security.PrivilegedAction的对象的run方法中。

2. 你必须将该PrivilegedAction对象作为参数传递给java.security.AccessController的doPrivileged方法。

如果我们将这些准则应用于RectangleArea类，我们的类定义将如下所示：

import java.io.*;
import java.security.*;

public final class RectangleArea {
    public static void
    writeArea(final java.awt.Rectangle r) {
        AccessController.
          doPrivileged(new PrivilegedAction() {
            public Object run() {
                try { 
                    int area = r.width * r.height;
                    String userHome = System.getProperty("user.home");
                    FileWriter fw = new FileWriter( userHome + File.separator
                        + "test" + File.separator + "area.txt");
                    fw.write("The rectangle's area is " + area);
                    fw.flush();
                    fw.close();
                } catch(IOException ioe) {
                    System.err.println(ioe);
                }
                return null;
            }
        });
    }
}

这个类中的唯一方法writeArea计算矩形的面积，并将面积写入名为area.txt的文件中，该文件位于用户主目录下的test目录中。

处理输出文件的安全敏感语句必须放在新的PrivilegedAction实例的run方法中。（注意，run要求返回一个Object实例。返回的对象可以是null。）然后将新的PrivilegedAction实例作为参数传递给AccessController.doPrivileged的调用。

有关使用doPrivileged的更多信息，请参阅JDK™文档中的特权块 API。

以这种方式将安全敏感代码包装在PrivilegedAction对象中是使扩展能够执行安全敏感操作的第一个要求。第二个要求是：让安全管理器授予特权代码适当的权限。

使用安全策略指定权限

运行时生效的安全策略由策略文件指定。默认策略由 JRE 软件中的lib/security/java.policy文件设置。

策略文件通过grant条目为软件分配安全权限。策略文件可以包含任意数量的 grant 条目。默认策略文件为安装的扩展程序具有以下 grant 条目：

grant codeBase "file:${{java.ext.dirs}}/*" {
    permission java.security.AllPermission;
};

此条目指定由file:${{java.ext.dirs}}/*指定的目录中的文件将被授予名为java.security.AllPermission的权限。 （请注意，从 Java 6 开始，java.ext.dirs指的是类似classpath的目录路径，每个目录都可以容纳安装的扩展。）不难猜到java.security.AllPermission授予安装的扩展程序可以授予的所有安全权限。

默认情况下，安装的扩展程序没有安全限制。只要安全敏感代码包含在作为doPrivileged调用参数传递的PrivilegedAction实例中，扩展软件就可以执行安全敏感操作，就好像没有安装安全管理器一样。

要限制授予扩展程序的权限，您需要修改策略文件。要拒绝所有扩展程序的所有权限，您可以简单地删除上述 grant 条目。

并非所有权限都像默认授予的java.security.AllPermission那样全面。删除默认 grant 条目后，您可以为特定权限输入新的 grant 条目，包括：

• java.awt.**AWTPermission**

• java.io.**FilePermission**

• java.net.**NetPermission**

• java.util.**PropertyPermission**

• java.lang.reflect.**ReflectPermission**

• java.lang.**RuntimePermission**

• java.security.**SecurityPermission**

• java.io.**SerializablePermission**

• java.net.**SocketPermission**

JDK 中的权限文档提供了关于每个权限的详细信息。让我们看看使用 RectangleArea 作为扩展所需的权限。

RectangleArea.writeArea方法需要两个权限：一个用于确定用户主目录的路径，另一个用于写入文件。假设RectangleArea类打包在文件area.jar中，您可以通过向策略文件添加以下条目来授予写入权限：

grant codeBase "file:${java.home}/lib/ext/area.jar" {
    permission java.io.PropertyPermission "user.home",
        "read";
    permission java.io.FilePermission
        "${user.home}${/}test${/}*", "write";
};

此条目的codeBase "file:${java.home}/lib/ext/area.jar"部分保证此条目指定的权限仅适用于area.jar。 java.io.PropertyPermission允许访问属性。 第一个参数"user.home"指定属性的名称，第二个参数"read"表示可以读取该属性。（另一个选择是"write"。）

java.io.FilePermission允许访问文件。第一个参数"${user.home}${/}test${/}*"表示area.jar被授予访问用户主目录中test目录中所有文件的权限。（请注意${/}是一个平台无关的文件分隔符。）第二个参数表示被授予的文件访问权限仅限于写入。（第二个参数的其他选择是"read"、"delete"和"execute"。）

签署扩展程序

你可以使用策略文件对扩展程序授予的权限施加额外限制，要求它们必须由受信任的实体签名。（有关签署和验证 JAR 文件的审查，请参阅本教程中的签署 JAR 文件课程。）

为了允许在授予权限时与扩展程序或其他软件一起进行签名验证，策略文件必须包含一个keystore 条目。密钥库条目指定用于验证的密钥库。密钥库条目的形式为

keystore "*keystore_url*";

URL keystore_url可以是绝对或相对的。如果是相对的，URL 是相对于策略文件的位置。例如，要使用keytool使用的默认密钥库，将此条目添加到java.policy中

keystore "file://${user.home}/.keystore";

要指示必须签署扩展程序才能被授予安全权限，您可以使用signedBy字段。例如，以下条目指示只有当扩展程序area.jar由密钥库中的别名为 Robert 和 Rita 的用户签名时，才授予列出的权限：

grant signedBy "Robert,Rita",
    codeBase "file:${java.home}/lib/ext/area.jar" {
        permission java.io.PropertyPermission
            "user.home", "read";
        permission java.io.FilePermission
            "${user.home}${/}test${/}*", "write";
};

如果codeBase字段被省略，如下所示的"grant"，则权限将授予任何由"Robert"或"Rita"签名的软件，包括已安装或下载的扩展程序：

grant signedBy "Robert,Rita" {
    permission java.io.FilePermission "*", "write";  
};

有关策略文件格式的更多详细信息，请参阅 JDK 文档中的安全体系结构规范第 3.3.1 节。

在扩展中封存包

原文：docs.oracle.com/javase/tutorial/ext/security/sealing.html

您可以选择性地封存扩展 JAR 文件中的包作为额外的安全措施。如果一个包被封存，那么该包中定义的所有类必须来自一个单独的 JAR 文件。

没有封存，一个“敌对”的程序可以创建一个类并将其定义为您的扩展包的成员。然后，敌对软件将自由访问您的扩展包的包保护成员。

在扩展中封存包与封存任何 JAR 打包的类没有区别。要封存您的扩展包，您必须向包含您的扩展的 JAR 文件的清单中添加Sealed头部。您可以通过将Sealed头部与包的Name头部关联来封存单个包。在存档中未与单个包关联的Sealed头部表示所有包都被封存。这样的“全局”Sealed头部将被与单个包关联的任何Sealed头部覆盖。与Sealed头部关联的值要么是true，要么是false。

例子

让我们看几个示例清单文件。在这些示例中，假设 JAR 文件包含这些包：

com/myCompany/package_1/
com/myCompany/package_2/
com/myCompany/package_3/
com/myCompany/package_4/

假设您想要封存所有包。您可以通过简单地向清单中添加一个存档级别的Sealed头部来实现：

Manifest-Version: 1.0
Sealed: true

任何具有这个清单的 JAR 文件中的所有包都将被封存。

如果您只想封存com.myCompany.package_3，您可以通过这个清单来实现：

Manifest-Version: 1.0

Name: com/myCompany/package_3/
Sealed: true

在这个例子中，唯一的Sealed头部是与包com.myCompany.package_3的Name头部相关联的，因此只有该包被封存。（Sealed头部与Name头部相关联，因为它们之间没有空行。）

最后一个例子，假设您想要封存所有包除了com.myCompany.package_2。您可以通过这样的清单来实现：

Manifest-Version: 1.0
Sealed: true

Name: com/myCompany/package_2/
Sealed: false

在这个例子中，存档级别的Sealed: true头部表示 JAR 文件中的所有包都将被封存。然而，清单中还有一个与包com.myCompany.package_2相关联的Sealed: false头部，该头部覆盖了该包的存档级别封存。因此，这个清单将导致所有包都被封存，除了com.myCompany.package_2。

路径：反射 API

原文：docs.oracle.com/javase/tutorial/reflect/index.html

反射的用途

反射通常被需要能够检查或修改在 Java 虚拟机中运行的应用程序的运行时行为的程序所使用。这是一个相对高级的特性，应该只由对语言基础知识有很好掌握的开发人员使用。在这种情况下，反射是一种强大的技术，可以使应用程序执行原本不可能的操作。

可扩展性特性

应用程序可以通过使用完全限定名称创建可扩展性对象的实例来利用外部、用户定义的类。

类浏览器和可视化开发环境

类浏览器需要能够枚举类的成员。可视化开发环境可以从反射中可用的类型信息中受益，帮助开发人员编写正确的代码。

调试器和测试工具

调试器需要能够检查类的私有成员。测试工具可以利用反射系统地调用类中定义的可发现的一组 API，以确保测试套件中的代码覆盖率较高。

反射的缺点

反射很强大，但不应该被滥用。如果可以在不使用反射的情况下执行操作，则最好避免使用它。在通过反射访问代码时应牢记以下问题。

性能开销

因为反射涉及动态解析的类型，某些 Java 虚拟机优化无法执行。因此，反射操作比非反射操作性能较慢，并且应该避免在性能敏感应用程序中频繁调用的代码段中使用。

安全限制

反射需要运行时权限，当在安全管理器下运行时可能不存在。这是一个重要的考虑因素，对于必须在受限制的安全上下文中运行的代码，比如在 Applet 中。

内部信息的暴露

由于反射允许代码执行在非反射代码中非法的操作，比如访问private字段和方法，使用反射可能导致意想不到的副作用，可能使代码失效并破坏可移植性。反射代码打破了抽象，因此可能会随着平台升级而改变行为。

路径课程

本路径涵盖了通过反射访问和操作类、字段、方法和构造函数的常见用法。每个课程包含代码示例、提示和故障排除信息。

本课程展示了获取Class对象的各种方法，并使用它来检查类的属性，包括其声明和内容。

本课程描述了如何使用 Reflection API 查找类的字段、方法和构造函数。提供了设置和获取字段值、调用方法以及使用特定构造函数创建对象实例的示例。

这节课介绍了两种特殊类型的类：在运行时生成的数组和定义唯一命名对象实例的enum类型。示例代码展示了如何检索数组的组件类型以及如何使用数组或enum类型设置和获取字段。

注意：

本教程中的示例旨在用于实验 Reflection API。因此，异常处理与在生产代码中使用的方式不同。特别是，在生产代码中，不建议将对用户可见的堆栈跟踪信息输出。

课程：类

原文：docs.oracle.com/javase/tutorial/reflect/class/index.html

每种类型都是引用类型或基本类型。类、枚举和数组（它们都继承自java.lang.Object）以及接口都是引用类型。引用类型的示例包括java.lang.String、所有基本类型的包装类，如java.lang.Double、接口java.io.Serializable和枚举javax.swing.SortOrder。基本类型有一组固定的类型：boolean、byte、short、int、long、char、float和double。

对于每种类型的对象，Java 虚拟机实例化一个不可变的java.lang.Class实例，该实例提供了用于检查对象的运行时属性的方法，包括其成员和类型信息。Class还提供了创建新类和对象的能力。最重要的是，它是所有反射 API 的入口点。本课程涵盖了涉及类的最常用的反射操作：

• 检索类对象描述了获取Class的方法。

• 检查类修饰符和类型展示了如何访问类声明信息。

• 发现类成员说明了如何列出类中的构造函数、字段、方法和嵌套类。

• 故障排除描述了在使用Class时遇到的常见错误。

检索类对象

原文：docs.oracle.com/javase/tutorial/reflect/class/classNew.html

所有反射操作的入口点是java.lang.Class。除了java.lang.reflect.ReflectPermission之外，java.lang.reflect中的类都没有公共构造函数。要访问这些类，需要在Class上调用适当的方法。有几种方法可以获取Class，具体取决于代码是否可以访问对象、类的名称、类型或现有的Class。

Object.getClass()

如果对象的实例可用，则获取其Class的最简单方法是调用Object.getClass()。当然，这仅适用于所有继承自Object的引用类型。以下是一些示例。

Class c = "foo".getClass();

返回String的Class。

Class c = System.console().getClass();

与虚拟机关联的唯一控制台由static方法System.console()返回。getClass()返回的值是对应于java.io.Console的Class。

enum E { A, B }
Class c = A.getClass();

A是枚举E的一个实例；因此getClass()返回对应于枚举类型E的Class。

byte[] bytes = new byte[1024];
Class c = bytes.getClass();

由于数组是Objects，因此也可以在数组实例上调用getClass()。返回的Class对应于具有组件类型byte的数组。

import java.util.HashSet;
import java.util.Set;

Set<String> s = new HashSet<String>();
Class c = s.getClass();

在这种情况下，java.util.Set是一个指向类型为java.util.HashSet的对象的接口。getClass()返回的值是与java.util.HashSet对应的类。

.class 语法

如果类型可用但没有实例，则可以通过在类型名称后附加".class"来获得一个Class。这也是获取原始类型对应的Class的最简单方式。

boolean b;
Class c = b.getClass();   // compile-time error

Class c = boolean.class;  // correct

请注意，语句boolean.getClass()会产生编译时错误，因为boolean是原始类型，不能被解引用。.class语法返回与类型boolean对应的Class。

Class c = java.io.PrintStream.class;

变量c将是与类型java.io.PrintStream对应的Class。

Class c = int[][][].class;

.class语法可用于检索与给定类型的多维数组对应的Class。

Class.forName()

如果类的完全限定名称可用，则可以使用静态方法Class.forName()获取相应的Class。这不能用于原始类型。数组类名称的语法由Class.getName()描述。此语法适用于引用和原始类型。

Class c = Class.forName("com.duke.MyLocaleServiceProvider");

此语句将根据给定的完全限定名称创建一个类。

Class cDoubleArray = Class.forName("[D");

Class cStringArray = Class.forName("[[Ljava.lang.String;");

变量cDoubleArray将包含与原始类型double的数组对应的Class（即与double[].class相同）。变量cStringArray将包含与String的二维数组对应的Class（即与String[][].class相同）。

原始类型包装器的 TYPE 字段

.class 语法是获取原始类型的 Class 更方便且更常用的方式；然而还有另一种获取 Class 的方法。每种原始类型和 void 在 java.lang 中都有一个包装类，用于将原始类型装箱为引用类型。每个包装类都包含一个名为 TYPE 的字段，该字段等于被包装的原始类型的 Class。

Class c = Double.TYPE;

存在一个类 java.lang.Double 用于包装原始类型 double，每当需要一个 Object 时。Double.TYPE 的值与 double.class 相同。

Class c = Void.TYPE;

Void.TYPE 与 void.class 相同。

返回类的方法

有几个反射 API 返回类，但只有在已经直接或间接地获取了 Class 后才能访问这些类。

Class.getSuperclass()

返回给定类的超类。

Class c = javax.swing.JButton.class.getSuperclass();

javax.swing.JButton 的超类是 javax.swing.AbstractButton。

Class.getClasses()

返回类的所有公共类、接口和枚举，包括继承的成员。

Class<?>[] c = Character.class.getClasses();

Character 包含两个成员类 Character.Subset 和 Character.UnicodeBlock。

Class.getDeclaredClasses()

返回在此类中显式声明的所有类、接口和枚举。

Class<?>[] c = Character.class.getDeclaredClasses();

Character 包含两个公共成员类 Character.Subset 和 Character.UnicodeBlock 以及一个私有类 Character.CharacterCache。

Class.getDeclaringClass()。

java.lang.reflect.Field.getDeclaringClass()。

java.lang.reflect.Method.getDeclaringClass()。

java.lang.reflect.Constructor.getDeclaringClass()。

返回声明这些成员的Class。匿名类声明不会有声明类，但会有封闭类。

import java.lang.reflect.Field;

Field f = System.class.getField("out");
Class c = f.getDeclaringClass();

字段out在System中声明。

public class MyClass {
    static Object o = new Object() {
        public void m() {} 
    };
    static Class<c> = o.getClass().getEnclosingClass();
}

由o定义的匿名类的声明类为null。

Class.getEnclosingClass()。

返回类的直接封闭类。

Class c = Thread.State.class().getEnclosingClass();

枚举Thread.State的封闭类为Thread。

public class MyClass {
    static Object o = new Object() { 
        public void m() {} 
    };
    static Class<c> = o.getClass().getEnclosingClass();
}

由o定义的匿名类由MyClass封闭。

检查类的修饰符和类型

原文：docs.oracle.com/javase/tutorial/reflect/class/classModifiers.html

一个类可以用一个或多个修饰符声明，这些修饰符会影响其运行时行为：

• 访问修饰符：public，protected和private

• 要求覆盖的修饰符：abstract

• 限制为一个实例的修饰符：static

• 禁止值修改的修饰符：final

• 强制严格浮点行为的修饰符：strictfp

• 注解

并非所有修饰符都允许用于所有类，例如接口不能是final，枚举不能是abstract。java.lang.reflect.Modifier包含了所有可能的修饰符声明。它还包含可用于解码由Class.getModifiers()返回的修饰符集合的方法。

ClassDeclarationSpy示例展示了如何获取类的声明组件，包括修饰符、泛型类型参数、实现的接口和继承路径。由于Class实现了java.lang.reflect.AnnotatedElement接口，因此也可以查询运行时注解。

import java.lang.annotation.Annotation;
import java.lang.reflect.Modifier;
import java.lang.reflect.Type;
import java.lang.reflect.TypeVariable;
import java.util.Arrays;
import java.util.ArrayList;
import java.util.List;
import static java.lang.System.out;

public class ClassDeclarationSpy {
    public static void main(String... args) {
	try {
	    Class<?> c = Class.forName(args[0]);
	    out.format("Class:%n  %s%n%n", c.getCanonicalName());
	    out.format("Modifiers:%n  %s%n%n",
		       Modifier.toString(c.getModifiers()));

	    out.format("Type Parameters:%n");
	    TypeVariable[] tv = c.getTypeParameters();
	    if (tv.length != 0) {
		out.format("  ");
		for (TypeVariable t : tv)
		    out.format("%s ", t.getName());
		out.format("%n%n");
	    } else {
		out.format("  -- No Type Parameters --%n%n");
	    }

	    out.format("Implemented Interfaces:%n");
	    Type[] intfs = c.getGenericInterfaces();
	    if (intfs.length != 0) {
		for (Type intf : intfs)
		    out.format("  %s%n", intf.toString());
		out.format("%n");
	    } else {
		out.format("  -- No Implemented Interfaces --%n%n");
	    }

	    out.format("Inheritance Path:%n");
	    List<Class> l = new ArrayList<Class>();
	    printAncestor(c, l);
	    if (l.size() != 0) {
		for (Class<?> cl : l)
		    out.format("  %s%n", cl.getCanonicalName());
		out.format("%n");
	    } else {
		out.format("  -- No Super Classes --%n%n");
	    }

	    out.format("Annotations:%n");
	    Annotation[] ann = c.getAnnotations();
	    if (ann.length != 0) {
		for (Annotation a : ann)
		    out.format("  %s%n", a.toString());
		out.format("%n");
	    } else {
		out.format("  -- No Annotations --%n%n");
	    }

        // production code should handle this exception more gracefully
	} catch (ClassNotFoundException x) {
	    x.printStackTrace();
	}
    }

    private static void printAncestor(Class<?> c, List<Class> l) {
	Class<?> ancestor = c.getSuperclass();
 	if (ancestor != null) {
	    l.add(ancestor);
	    printAncestor(ancestor, l);
 	}
    }
}

以下是一些输出示例。用户输入用斜体表示。

$ *java ClassDeclarationSpy java.util.concurrent.ConcurrentNavigableMap*
Class:
  java.util.concurrent.ConcurrentNavigableMap

Modifiers:
  public abstract interface

Type Parameters:
  K V

Implemented Interfaces:
  java.util.concurrent.ConcurrentMap<K, V>
  java.util.NavigableMap<K, V>

Inheritance Path:
  -- No Super Classes --

Annotations:
  -- No Annotations --

这是源代码中java.util.concurrent.ConcurrentNavigableMap的实际声明：

public interface ConcurrentNavigableMap<K,V>
    extends ConcurrentMap<K,V>, NavigableMap<K,V>

请注意，由于这是一个接口，它隐式地是abstract的。编译器为每个接口添加这个修饰符。此外，此声明包含两个泛型类型参数，K和V。示例代码仅打印这些参数的名称，但可以使用java.lang.reflect.TypeVariable中的方法检索有关它们的其他信息。接口也可以像上面显示的那样实现其他接口。

$ *java ClassDeclarationSpy "[Ljava.lang.String;"*
Class:
  java.lang.String[]

Modifiers:
  public abstract final

Type Parameters:
  -- No Type Parameters --

Implemented Interfaces:
  interface java.lang.Cloneable
  interface java.io.Serializable

Inheritance Path:
  java.lang.Object

Annotations:
  -- No Annotations --

由于数组是运行时对象，所有类型信息都由 Java 虚拟机定义。特别是，数组实现了Cloneable和java.io.Serializable，它们的直接超类始终是Object。

$ *java ClassDeclarationSpy java.io.InterruptedIOException*
Class:
  java.io.InterruptedIOException

Modifiers:
  public

Type Parameters:
  -- No Type Parameters --

Implemented Interfaces:
  -- No Implemented Interfaces --

Inheritance Path:
  java.io.IOException
  java.lang.Exception
  java.lang.Throwable
  java.lang.Object

Annotations:
  -- No Annotations --

从继承路径可以推断出java.io.InterruptedIOException是一个受检异常，因为RuntimeException不存在。

$ *java ClassDeclarationSpy java.security.Identity*
Class:
  java.security.Identity

Modifiers:
  public abstract

Type Parameters:
  -- No Type Parameters --

Implemented Interfaces:
  interface java.security.Principal
  interface java.io.Serializable

Inheritance Path:
  java.lang.Object

Annotations:
  @java.lang.Deprecated()

此输出显示java.security.Identity，一个已弃用的 API，具有注解java.lang.Deprecated。这可能被反射代码用于检测已弃用的 API。

注意： 并非所有注解都可以通过反射获得。只有那些具有java.lang.annotation.RetentionPolicy为RUNTIME的注解是可访问的。在语言中预定义的三个注解@Deprecated，@Override，和@SuppressWarnings中，只有@Deprecated在运行时可用。

发现类成员

原文：docs.oracle.com/javase/tutorial/reflect/class/classMembers.html

Class 提供了两类方法来访问字段、方法和构造函数：列举这些成员的方法和搜索特定成员的方法。此外，还有用于访问直接在类上声明的成员的方法，以及搜索超接口和超类以查找继承成员的方法。以下表格总结了所有定位成员的方法及其特性。

定位字段的类方法

定位方法的类方法

定位构造函数的类方法

¹ 构造函数不会被继承。

给定一个类名和感兴趣的成员指示，ClassSpy示例使用get*s()方法来确定所有公共元素的列表，包括任何继承的元素。

import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Member;
import static java.lang.System.out;

enum ClassMember { CONSTRUCTOR, FIELD, METHOD, CLASS, ALL }

public class ClassSpy {
    public static void main(String... args) {
	try {
	    Class<?> c = Class.forName(args[0]);
	    out.format("Class:%n  %s%n%n", c.getCanonicalName());

	    Package p = c.getPackage();
	    out.format("Package:%n  %s%n%n",
		       (p != null ? p.getName() : "-- No Package --"));

	    for (int i = 1; i < args.length; i++) {
		switch (ClassMember.valueOf(args[i])) {
		case CONSTRUCTOR:
		    printMembers(c.getConstructors(), "Constructor");
		    break;
		case FIELD:
		    printMembers(c.getFields(), "Fields");
		    break;
		case METHOD:
		    printMembers(c.getMethods(), "Methods");
		    break;
		case CLASS:
		    printClasses(c);
		    break;
		case ALL:
		    printMembers(c.getConstructors(), "Constuctors");
		    printMembers(c.getFields(), "Fields");
		    printMembers(c.getMethods(), "Methods");
		    printClasses(c);
		    break;
		default:
		    assert false;
		}
	    }

        // production code should handle these exceptions more gracefully
	} catch (ClassNotFoundException x) {
	    x.printStackTrace();
	}
    }

    private static void printMembers(Member[] mbrs, String s) {
	out.format("%s:%n", s);
	for (Member mbr : mbrs) {
	    if (mbr instanceof Field)
		out.format("  %s%n", ((Field)mbr).toGenericString());
	    else if (mbr instanceof Constructor)
		out.format("  %s%n", ((Constructor)mbr).toGenericString());
	    else if (mbr instanceof Method)
		out.format("  %s%n", ((Method)mbr).toGenericString());
	}
	if (mbrs.length == 0)
	    out.format("  -- No %s --%n", s);
	out.format("%n");
    }

    private static void printClasses(Class<?> c) {
	out.format("Classes:%n");
	Class<?>[] clss = c.getClasses();
	for (Class<?> cls : clss)
	    out.format("  %s%n", cls.getCanonicalName());
	if (clss.length == 0)
	    out.format("  -- No member interfaces, classes, or enums --%n");
	out.format("%n");
    }
}

这个例子相对紧凑；然而，printMembers()方法略显笨拙，因为java.lang.reflect.Member接口自反射最早的实现以来就存在，当引入泛型时，它无法被修改以包含更有用的getGenericString()方法。唯一的替代方法是像所示那样进行测试和转换，用printConstructors()、printFields()和printMethods()替换此方法，或者满足于相对简洁的Member.getName()的结果。

输出示例及其解释如下。用户输入用斜体表示。

$ *java ClassSpy java.lang.ClassCastException CONSTRUCTOR*
Class:
  java.lang.ClassCastException

Package:
  java.lang

Constructor:
  public java.lang.ClassCastException()
  public java.lang.ClassCastException(java.lang.String)

由于构造函数不会被继承，因此在直接超类RuntimeException和其他超类中定义的异常链接机制构造函数（具有Throwable参数）将不会被找到。

$ *java ClassSpy java.nio.channels.ReadableByteChannel METHOD*
Class:
  java.nio.channels.ReadableByteChannel

Package:
  java.nio.channels

Methods:
  public abstract int java.nio.channels.ReadableByteChannel.read
    (java.nio.ByteBuffer) throws java.io.IOException
  public abstract void java.nio.channels.Channel.close() throws
    java.io.IOException
  public abstract boolean java.nio.channels.Channel.isOpen()

接口java.nio.channels.ReadableByteChannel定义了read()。其余方法是从超级接口继承的。可以通过将get*s()替换为getDeclared*s()来轻松修改此代码，仅列出实际在类中声明的方法。

$ *java ClassSpy ClassMember FIELD METHOD*
Class:
  ClassMember

Package:
  -- No Package --

Fields:
  public static final ClassMember ClassMember.CONSTRUCTOR
  public static final ClassMember ClassMember.FIELD
  public static final ClassMember ClassMember.METHOD
  public static final ClassMember ClassMember.CLASS
  public static final ClassMember ClassMember.ALL

Methods:
  public static ClassMember ClassMember.valueOf(java.lang.String)
  public static ClassMember[] ClassMember.values()
  public final int java.lang.Enum.hashCode()
  public final int java.lang.Enum.compareTo(E)
  public int java.lang.Enum.compareTo(java.lang.Object)
  public final java.lang.String java.lang.Enum.name()
  public final boolean java.lang.Enum.equals(java.lang.Object)
  public java.lang.String java.lang.Enum.toString()
  public static <T> T java.lang.Enum.valueOf
    (java.lang.Class<T>,java.lang.String)
  public final java.lang.Class<E> java.lang.Enum.getDeclaringClass()
  public final int java.lang.Enum.ordinal()
  public final native java.lang.Class<?> java.lang.Object.getClass()
  public final native void java.lang.Object.wait(long) throws
    java.lang.InterruptedException
  public final void java.lang.Object.wait(long,int) throws
    java.lang.InterruptedException
  public final void java.lang.Object.wait() hrows java.lang.InterruptedException
  public final native void java.lang.Object.notify()
  public final native void java.lang.Object.notifyAll()

在这些结果的字段部分，枚举常量被列出。虽然这些在技术上是字段，但将它们与其他字段区分开可能是有用的。这个例子可以修改为使用java.lang.reflect.Field.isEnumConstant()来实现这一目的。在本教程的后续部分检查枚举中的EnumSpy示例包含了一个可能的实现。

在输出的方法部分中，观察到方法名称包含声明类的名称。因此，toString()方法是由Enum实现的，而不是从Object继承的。可以通过使用Field.getDeclaringClass()来修改代码，使这一点更明显。以下片段展示了潜在解决方案的一部分。

if (mbr instanceof Field) {
    Field f = (Field)mbr;
    out.format("  %s%n", f.toGenericString());
    out.format("  -- declared in: %s%n", f.getDeclaringClass());
}

故障排除

原文：docs.oracle.com/javase/tutorial/reflect/class/classTrouble.html

以下示例展示了在反射类时可能遇到的典型错误。

编译器警告："注意：...使用了未经检查或不安全的操作"

当调用方法时，会检查参数值的类型并可能进行转换。ClassWarning调用getMethod()会导致典型的未经检查的转换警告：

import java.lang.reflect.Method;

public class ClassWarning {
    void m() {
	try {
	    Class c = ClassWarning.class;
	    Method m = c.getMethod("m");  // warning

        // production code should handle this exception more gracefully
	} catch (NoSuchMethodException x) {
    	    x.printStackTrace();
    	}
    }
}

$ *javac ClassWarning.java*
Note: ClassWarning.java uses unchecked or unsafe operations.
Note: Recompile with -Xlint:unchecked for details.
$ *javac -Xlint:unchecked ClassWarning.java*
ClassWarning.java:6: warning: [unchecked] unchecked call to getMethod
  (String,Class<?>...) as a member of the raw type Class
Method m = c.getMethod("m");  // warning
                      ^
1 warning

许多库方法已经使用了泛型声明，包括Class中的几个方法。由于c声明为原始类型（没有类型参数），并且getMethod()的相应参数是参数化类型，因此会发生未经检查的转换。编译器需要生成警告。（参见Java 语言规范，Java SE 7 版，章节未经检查的转换和方法调用转换。）

有两种可能的解决方案。更可取的是修改c的声明以包含适当的通用类型。在这种情况下，声明应为：

Class<?> c = warn.getClass();

或者，可以在有问题的语句之前使用预定义的注释@SuppressWarnings来明确抑制警告。

Class c = ClassWarning.class;
@SuppressWarnings("unchecked")
Method m = c.getMethod("m");  
// warning gone

提示： 作为一个一般原则，不应忽略警告，因为它们可能表明存在错误。应适当使用参数化声明。如果不可能（也许是因为应用程序必须与库供应商的代码交互），则可以使用@SuppressWarnings对有问题的行进行注释。

当构造函数不可访问时会出现 InstantiationException

Class.newInstance()如果尝试创建一个类的新实例且零参数构造函数不可见，则会抛出InstantiationException。ClassTrouble示例展示了生成的堆栈跟踪。

class Cls {
    private Cls() {}
}

public class ClassTrouble {
    public static void main(String... args) {
	try {
	    Class<?> c = Class.forName("Cls");
	    c.newInstance();  // InstantiationException

        // production code should handle these exceptions more gracefully
	} catch (InstantiationException x) {
	    x.printStackTrace();
	} catch (IllegalAccessException x) {
	    x.printStackTrace();
	} catch (ClassNotFoundException x) {
	    x.printStackTrace();
	}
    }
}

$ *java ClassTrouble*
java.lang.IllegalAccessException: Class ClassTrouble can not access a member of
  class Cls with modifiers "private"
        at sun.reflect.Reflection.ensureMemberAccess(Reflection.java:65)
        at java.lang.Class.newInstance0(Class.java:349)
        at java.lang.Class.newInstance(Class.java:308)
        at ClassTrouble.main(ClassTrouble.java:9)

Class.newInstance()的行为非常类似于new关键字，并且会因为与new相同的原因而失败。在反射中的典型解决方案是利用java.lang.reflect.AccessibleObject类，该类提供了抑制访问控制检查的能力；然而，这种方法不起作用，因为java.lang.Class不扩展AccessibleObject。唯一的解决方案是修改代码以使用Constructor.newInstance()，该方法确实扩展了AccessibleObject。

提示： 一般来说，最好使用Constructor.newInstance()，原因在创建新类实例部分的成员课程中有描述。

使用Constructor.newInstance()可能会出现潜在问题的其他示例，可以在构造函数故障排除部分的成员课程中找到。

课程：成员

原文：docs.oracle.com/javase/tutorial/reflect/member/index.html

反射定义了一个接口java.lang.reflect.Member，该接口由java.lang.reflect.Field、java.lang.reflect.Method和java.lang.reflect.Constructor实现。这些对象将在本课程中讨论。对于每个成员，本课程将描述相关的 API 以检索声明和类型信息，成员特有的任何操作（例如，设置字段的值或调用方法），以及常见的错误。每个概念将通过代码示例和相关输出进行说明，这些输出近似一些预期的反射用法。

注意： 根据Java 语言规范，Java SE 7 版，类的成员是类主体的继承组件，包括字段、方法、嵌套类、接口和枚举类型。由于构造函数不会被继承，因此它们不是成员。这与java.lang.reflect.Member的实现类有所不同。

字段

字段具有类型和值。java.lang.reflect.Field类提供了用于访问类型信息以及在给定对象上设置和获取字段值的方法。

• 获取字段类型 描述了如何获取字段的声明类型和泛型类型

• 检索和解析字段修饰符 展示了如何获取字段声明的部分，如public或transient

• 获取和设置字段值 说明了如何访问字段的值

• 故障排除 描述了可能导致混淆的一些常见编码错误