Applet授权细节

文章目录

Applet在浏览器运行的要求
JRE安全运行机制
- java.security
- 安全策略文件的主要格式
- 1. keystore
- 2. grant
- JRE默认的安全设置（JRE下的java.policy文件）
- 用户目录下的策略文件
权限设置方式

此篇承接
说透Applet的数字签名之1——Applet及其运行
说透Applet的数字签名之2——数字签名

Applet在浏览器运行的要求

在浏览器端要显示Applet的要求有：

安装JRE
安装浏览器插件。Chrome在42版之后默认就不支持相关插件，IE还可以安装。
安全设置

JRE安全运行机制

客户端机器的JVM的安全性是通过JRE安装目录下的java.security 和 java.policy 进行控制。
以JRE1.8为例，路径示例为：
C:\Program Files (x86)\Java\jre1.8.0_241\lib\security

java.security

该文件是主要的安全配置文件，文件的示例
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A3Y9ZFVg-1580012190334)(images/screenshot_1580006850637.png)]

以上的主要配置包括：

provider，提供商，一些加密算法实现的Java安全API，比如数字签名算法或消息摘要算法。
配置的格式是：
security.provider.<n>=<className>
该配置可以配置多个。 n 代表序号
policy 安全策略相关配置
以下配置指定使用策略文件的方式进行设置。
policy.provider=sun.security.provider.PolicyFile
JRE 默认读取的策略文件有两个:

 policy.url.1=file:${java.home}/lib/security/java.policypolicy.url.2=file:${user.home}/.java.policy

第一个位于JRE的 security目录，文件名是java.policy
另外一个位于用户目录，文件名是.java.policy（文件名多一个点）

安全策略文件的主要格式

java.policy可以设置密钥库和授权信息。主要配置项如下：


keystore "file://C:/Program Files/Java/jre6/lib/security/cacerts", "JKS";grant {permission java.io.FilePermission "<<ALL FILES>>", "read";
};grant signedBy "myapplet",  codeBase "http://localhost:8080/" {permission java.security.AllPermission;
};

1. keystore

keystore设置密钥库的位置，实例中使用的是JRE本身的， JKS是该密钥的算法。keystore可以设置本地文件（file协议），也可以设置在线的密钥库（http协议）。
keystore "some_keystore_url", "keystore_type";
默认存在的，路径默认是/lib/security/cacerts，默认密码是changeit。
使用命令keytool -list -rfc -keystore cacerts来列出其中的内容

2. grant

grant即授权部分， signedBy是证书的发证机构， codeBase是访问的地址（可以是本地文件，也可以是在线的）。

JRE默认的安全设置（JRE下的java.policy文件）

该文件的设置是机器级别的，所有使用该机器的用户都应用此策略。内容如下：
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CxQRcflB-1580012190336)(images/screenshot_1580011026398.png)]

file:${{java.ext.dirs}} 目录（即jre6\lib\ext 目录）下的文件开放所有权限。
也就是所有放入该目录下的Applet都可以执行。不会卡权限
默认授予停止线程的运行时权限、本地机器1024端口的连接权限，以及读取java.version、os.name等属性的权限。
permission java.lang.RuntimePermission “stopThread”;
permission java.net.SocketPermission “localhost:1024-”, “listen”;
permission java.util.PropertyPermission “java.version”, “read”;

注意：上一篇的实例中使用System.getenv(“OS”); 获取操作系统的属性，会报没有权限；如果使用System.getProperty(“os.name”)则不存在权限拒绝的问题。
System.getenv(“OS”)要能执行需要新增如下权限：
permission java.lang.RuntimePermission "getenv.OS";

用户目录下的策略文件

file:${user.home}/.java.policy
该文件是位于用户目录下，是用户层级的。

如果没有运行和设置过，该文件是没有的。

此外可以通过policy.url.3=xx 来新增策略文件

权限设置方式

针对上一篇执行System.getenv(“OS”)没有权限的问题，对应就有三种方式进行添加

在JRE的 java.policy 添加
在permission java.lang.RuntimePermission “stopThread”; 下新增：
permission java.lang.RuntimePermission "getenv.OS";
在用户目录的.java.policy文件中设置
在file:${user.home}/.java.policy最后加上:

grant {permission java.lang.RuntimePermission  "getenv.OS";
};

以上授权开放了所有Applet执行getenv.OS的权限，如果要限制访问的签发机构（signedBy）的codeBase，则配置如下：

grant signedBy "myapplet",  codeBase "file://D/inssoftware/tomcat7/webapps/applet/jdk6/myapplet.html"{permission java.lang.RuntimePermission  "getenv.OS";
};

可以添加之后会出现权限的问题，原因是JRE使用的密钥库文件是lib/security/cacerts，将myapplet.cer导入：
keytool -import -alias myapplet -file myapplet.cer -keystore cacerts

————————————————————————