Учебник по Java RMI - AccessControlException: доступ запрещен (java.io.FilePermission - PullRequest
Новая
       26

Учебник по Java RMI - AccessControlException: доступ запрещен (java.io.FilePermission

15 голосов
/ 07 октября 2008

Вчера я попытался начать работу с Java RMI. Я нашел этот учебник Sun (http://java.sun.com/docs/books/tutorial/rmi/index.html)) и начал с реализации сервера. Но каждый раз, когда я запускаю программу (выполняется rmiregistry), я получаю AccessControlException со следующим StackTrace: 

LoginImpl exception:
java.security.AccessControlException: access denied (java.io.FilePermission \\\C\ProjX\server\serverProj\bin\usermanager read)
    at java.security.AccessControlContext.checkPermission(AccessControlContext.java:264)
    at java.security.AccessController.checkPermission(AccessController.java:427)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
    at java.lang.SecurityManager.checkRead(SecurityManager.java:871)
    at java.io.File.exists(File.java:700)
    at sun.net.www.protocol.file.Handler.openConnection(Handler.java:80)
    at sun.net.www.protocol.file.Handler.openConnection(Handler.java:55)
    at java.net.URL.openConnection(URL.java:943)
    at sun.rmi.server.LoaderHandler.addPermissionsForURLs(LoaderHandler.java:1020)
    at sun.rmi.server.LoaderHandler.access$300(LoaderHandler.java:52)
    at sun.rmi.server.LoaderHandler$Loader.<init>(LoaderHandler.java:1108)
    at sun.rmi.server.LoaderHandler$Loader.<init>(LoaderHandler.java:1089)
    at sun.rmi.server.LoaderHandler$1.run(LoaderHandler.java:861)
    at java.security.AccessController.doPrivileged(Native Method)
    at sun.rmi.server.LoaderHandler.lookupLoader(LoaderHandler.java:858)
    at sun.rmi.server.LoaderHandler.loadProxyClass(LoaderHandler.java:541)
    at java.rmi.server.RMIClassLoader$2.loadProxyClass(RMIClassLoader.java:628)
    at java.rmi.server.RMIClassLoader.loadProxyClass(RMIClassLoader.java:294)
    at sun.rmi.server.MarshalInputStream.resolveProxyClass(MarshalInputStream.java:238)
    at java.io.ObjectInputStream.readProxyDesc(ObjectInputStream.java:1494)
    at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1457)
    at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1693)
    at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1299)
    at java.io.ObjectInputStream.readObject(ObjectInputStream.java:339)
    at sun.rmi.registry.RegistryImpl_Skel.dispatch(Unknown Source)
    at sun.rmi.server.UnicastServerRef.oldDispatch(UnicastServerRef.java:375)
    at sun.rmi.server.UnicastServerRef.dispatch(UnicastServerRef.java:240)
    at sun.rmi.transport.Transport$1.run(Transport.java:153)
    at java.security.AccessController.doPrivileged(Native Method)
    at sun.rmi.transport.Transport.serviceCall(Transport.java:149)
    at sun.rmi.transport.tcp.TCPTransport.handleMessages(TCPTransport.java:460)
    at sun.rmi.transport.tcp.TCPTransport$ConnectionHandler.run(TCPTransport.java:701)
    at java.lang.Thread.run(Thread.java:595)
    at sun.rmi.transport.StreamRemoteCall.exceptionReceivedFromServer(Unknown Source)
    at sun.rmi.transport.StreamRemoteCall.executeCall(Unknown Source)
    at sun.rmi.server.UnicastRef.invoke(Unknown Source)
    at sun.rmi.registry.RegistryImpl_Stub.rebind(Unknown Source)
    at startserver.StartServer.main(StartServer.java:22)

Мой файл server.policy выглядит так: 

grant {
    permission java.security.AllPermission;
};

Но я тоже попробовал это ... 

grant {
    permission java.security.AllPermission;
    permission java.io.FilePermission "file://C:/ProjX/server/serverProj/bin/usermanager", "read";
};

... и этот (и несколько других: - (): 

grant codeBase "file:///-" {
    permission java.security.AllPermission;
};

Но в любом случае результат один и тот же. И да, файл политики находится в пути (я вижу исключение Parse, когда я записываю неправильные оценки в файл политики). Я опробовал несколько других созвездий "/" и "\", но это не имеет никакого эффекта.

Я использую Eclipse, и мои VM-параметры выглядят так: 

-cp C:\ProjX\server\serverProj\bin\usermanager\
-Djava.rmi.server.codebase=file://C:/ProjX/server/serverProj/bin/usermanager/
-Djava.rmi.server.hostname=XYZ (anonymized)
-Djava.security.policy=server.policy

Скомпилированные классы Remote-Interface и класса реализации интерфейса (LoginImpl) находятся по следующему пути: "C: / ProjX / server / serverProj / bin / usermanager /". Основной метод, в котором я создаю экземпляр и привязываю заглушку к реестру, находится в другом пакете и выглядит следующим образом: 

public static void main(String[] args) {
    if (System.getSecurityManager() == null) {
        System.setSecurityManager(new SecurityManager());
    }
    try {
        String name = "Login";
        Login login = new LoginImpl();
        Login stub = (Login) UnicastRemoteObject.exportObject(login, 0);
        Registry registry = LocateRegistry.getRegistry();
        registry.rebind(name, stub);
        System.out.println("LoginImpl bound");
    } catch (Exception e) {
        System.err.println("LoginImpl exception:");
        e.printStackTrace();
    }
}

У кого-нибудь есть совет для меня? Спасибо за помощь.

Так что вопрос такой же (исключение java.rmi.UnmarshalException показывает, что изменение кодовой базы не является решением моего AccessControlException). И нет: я не хочу покупать плагин "G B"; -).

Ответы [ 6 ]

7 голосов
/ 14 октября 2008

Хорошо, у меня это есть. Это не было свойство rmiregistry (работает без каких-либо параметров). В моем VM-параметре кодовой базы было две ошибки: 

-cp C:\ProjX\server\serverProj\bin\usermanager\
-Djava.rmi.server.codebase=file://C:/ProjX/server/serverProj/bin/usermanager/
-Djava.rmi.server.hostname=XYZ (anonymized)
-Djava.security.policy=server.policy

... вместо этого должно выглядеть так: 

-Djava.rmi.server.codebase=file:/C:/ProjX/server/serverProj/bin/
-Djava.rmi.server.hostname=XYZ (anonymized)
-Djava.security.policy=server.policy

=> file: / (только одна косая черта) + неверное окончание пакета.

Но след был настолько запутанным, что я подумал, что что-то не так с файлом политики или конфигурацией политики.

Тем не менее: Спасибо за помощь и счастливого взлома. ; -)

7 голосов
/ 08 октября 2008

Предоставление всех разрешений на весь код - это действительно плохо. Любой клиент RMI может делать то, что он хочет, как вошедший в систему пользователь. В общем, старайтесь максимально ограничивать разрешения, особенно если вы не знаете, откуда появился код.

Вернуться к вопросу ... 

-Djava.rmi.server.codebase=file://C:/ProjX/server/serverProj/bin/usermanager/

Это должно быть либо "file:///C:/...", либо "file:/C:/...". Подумайте о http. "http://C:/..." относится к хосту с именем C. Обратите внимание, что в сообщении об исключении пропущено двоеточие, потому что это просто синтаксис для номера порта.

Причина, по которой вы получаете исключение безопасности, даже если вы предоставляете разрешения для всего кода, заключается в том, что RMI ограничивает разрешения соответствующим образом, учитывая соответствующие URL-адреса (используя AccessController doPrivileged с двумя аргументами).

2 голосов
/ 12 ноября 2008

Вы также можете программно установить свойство java.rmi.server.codebase: 

Hello h = null;
Properties props = System.getProperties();
System.setProperty("java.rmi.server.codebase", "file:/C:/PROJECTX/bin/");
try {
  h = new HelloImpl();
  Naming.bind("//localhost:1099/HelloService", h);
  System.out.println("Serwis gotów...");
} catch (RemoteException e) {
  e.printStackTrace();
} catch (MalformedURLException e) {
  e.printStackTrace();
} catch (AlreadyBoundException e) {
  e.printStackTrace();
}

для некоторой гипотетической Hello службы RMI.

0 голосов
/ 22 августа 2013

Это просто отлично работает, когда я исправил переменную CLASSPATH перед запуском реестра rmi. Я думаю, что идея заключается в том, что реестр RMI загрузит ваши удаленные заглушки, и он должен иметь доступ. Это было легко, поместив мои классы в CLASSPATH перед запуском реестра. Так что это не связано ни с какой другой причиной, такой как JDK 7 или file: / protocol.

0 голосов
/ 06 ноября 2011

У меня очень короткий вопрос ...

Почему он использует этот путь: "file: // C: / ProjX / server / serverProj / bin / usermanager" Я думаю, он в Windows, и пути в Windows написаны C: \ ProjX ...... Я спрашиваю, потому что у меня тоже есть проблемы с RMI, но у меня есть файл политики следующим образом: 

grant codebase     
"file:///C:\Users\anna\Desktop\lab5\Eclipse\ProgramareServer\programare.jar-" { 
    permission java.security.AllPermission;
};

Это неправильно?

0 голосов
/ 14 октября 2008

Я думаю, что на самом деле исключение исходит из магистров. Именно эта часть трассировки стека заставляет меня так думать. Заглушка для rmiregistry получает исключение и передает его обратно в результате попытки повторного связывания. 

    at sun.rmi.transport.StreamRemoteCall.<b>exceptionReceivedFromServer</b>(Unknown Source)
    at sun.rmi.transport.StreamRemoteCall.executeCall(Unknown Source)
    at sun.rmi.server.UnicastRef.invoke(Unknown Source)
    at sun.rmi.registry.RegistryImpl_Stub.rebind(Unknown Source)

Попробуйте запустить rmiregistry с -J-Djava.security.policy=all.policy, где файл политики предоставляет все разрешения (по крайней мере, чтобы все заработало).

В конце концов, вы также можете переключиться на URL кодовой базы HTTP, просто чтобы вы могли запускать клиентов на компьютере, отдельном от вашего сервера.

...