Java的ClassLoader與Package機(jī)制

為了深入了解Java的ClassLoader機(jī)制，我們先來做以下實(shí)驗(yàn)：

package java.lang;
public class Test {
    public static void main(String[] args) {
        char[] c = "1234567890".toCharArray();
        String s = new String(0, 10, c);
    }
}

String類有一個Package權(quán)限的構(gòu)造函數(shù)String(int offset, int length, char[] array)，按照默認(rèn)的訪問權(quán)限，由于Test屬于java.lang包，因此理論上應(yīng)該可以訪問String的這個構(gòu)造函數(shù)。編譯通過！執(zhí)行時(shí)結(jié)果如下：

Exception in thread "main" java.lang.SecurityException: Prohibited package name:
 java.lang
        at java.lang.ClassLoader.defineClass(Unknown Source)
        at java.security.SecureClassLoader.defineClass(Unknown Source)
        at java.net.URLClassLoader.defineClass(Unknown Source)
        at java.net.URLClassLoader.access$100(Unknown Source)
        at java.net.URLClassLoader$1.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.net.URLClassLoader.findClass(Unknown Source)
        at java.lang.ClassLoader.loadClass(Unknown Source)
        at sun.misc.Launcher$AppClassLoader.loadClass(Unknown Source)
        at java.lang.ClassLoader.loadClass(Unknown Source)
        at java.lang.ClassLoader.loadClassInternal(Unknown Source)

奇怪吧？要弄清為什么會有SecurityException，就必須搞清楚ClassLoader的機(jī)制。

Java的ClassLoader就是用來動態(tài)裝載class的，ClassLoader對一個class只會裝載一次，JVM使用的ClassLoader一共有4種：

啟動類裝載器，標(biāo)準(zhǔn)擴(kuò)展類裝載器，類路徑裝載器和網(wǎng)絡(luò)類裝載器。

這4種ClassLoader的優(yōu)先級依次從高到低，使用所謂的“雙親委派模型”。確切地說，如果一個網(wǎng)絡(luò)類裝載器被請求裝載一個java.lang.Integer，它會首先把請求發(fā)送給上一級的類路徑裝載器，如果返回已裝載，則網(wǎng)絡(luò)類裝載器將不會裝載這個java.lang.Integer，如果上一級的類路徑裝載器返回未裝載，它才會裝載java.lang.Integer。

類似的，類路徑裝載器收到請求后（無論是直接請求裝載還是下一級的ClassLoader上傳的請求），它也會先把請求發(fā)送到上一級的標(biāo)準(zhǔn)擴(kuò)展類裝載器，這樣一層一層上傳，于是啟動類裝載器優(yōu)先級最高，如果它按照自己的方式找到了java.lang.Integer，則下面的ClassLoader 都不能再裝載java.lang.Integer，盡管你自己寫了一個java.lang.Integer，試圖取代核心庫的java.lang.Integer是不可能的，因?yàn)樽约簩懙倪@個類根本無法被下層的ClassLoader裝載。

再說說Package權(quán)限。Java語言規(guī)定，在同一個包中的class，如果沒有修飾符，默認(rèn)為Package權(quán)限，包內(nèi)的class都可以訪問。但是這還不夠準(zhǔn)確。確切的說，只有由同一個ClassLoader裝載的class才具有以上的Package權(quán)限。比如啟動類裝載器裝載了java.lang.String，類路徑裝載器裝載了我們自己寫的java.lang.Test，它們不能互相訪問對方具有Package權(quán)限的方法。這樣就阻止了惡意代碼訪問核心類的Package權(quán)限方法。