来自并行流中的I / O代码的SecurityException
我无法解释这一点,但我在其他人的代码中发现了这种现象:
import java.io.IOException; import java.io.UncheckedIOException; import java.nio.file.Files; import java.util.stream.Stream; import org.junit.Test; public class TestDidWeBreakJavaAgain { @Test public void testIoInSerialStream() { doTest(false); } @Test public void testIoInParallelStream() { doTest(true); } private void doTest(boolean parallel) { Stream stream = Stream.of("1", "2", "3"); if (parallel) { stream = stream.parallel(); } stream.forEach(name -> { try { Files.createTempFile(name, ".dat"); } catch (IOException e) { throw new UncheckedIOException("Failed to create temp file", e); } }); } } 在启用安全管理器的情况下运行时,仅从流上调用parallel()或者从集合中获取流时调用parallel() ,似乎可以保证所有执行I / O的尝试都会抛出SecurityException 。 (最有可能的是,调用任何可以抛出SecurityException方法都会抛出。)
我理解parallel()意味着它将在另一个可能与我们开始时没有相同特权的线程中运行,但我想我认为框架会为我们处理这个问题。
在整个代码库中删除对parallel()或parallelStream()调用可以避免风险。 插入一个AccessController.doPrivileged也修复它,但对我来说听起来不安全,至少在所有情况下都不是。 还有其他选择吗?
并行流执行将使用Fork / Join框架,更具体地说,它将使用Fork / Join公共池。 这是一个实现细节,但在这种情况下观察到这些细节可能以意想不到的方式泄漏。
请注意,使用CompletableFuture异步执行任务时也会发生相同的行为。
当存在安全管理器时,Fork / Join公共池的线程工厂将设置为创建无害线程的工厂。 这样一个无害的线程没有授予它的权限,不是任何已定义的线程组的成员,并且在顶级Fork / Join任务完成其执行后,所有线程本地(如果创建)都被清除。 这种行为可确保在共享公共池时,Fork / Join任务彼此隔离。
这就是为什么在示例中抛出SecurityException ,可能是:
java.lang.SecurityException:无法创建临时文件或目录
有两种潜在的工作方式。 根据安全管理员使用的原因,每次解决可能会增加不安全的风险。
第一个更一般的解决方法是通过系统属性注册Fork / Join线程工厂,以告诉Fork / Join框架公共池的默认线程工厂应该是什么。 例如,这是一个非常简单的线程工厂:
public class MyForkJoinWorkerThreadFactory implements ForkJoinPool.ForkJoinWorkerThreadFactory { public final ForkJoinWorkerThread newThread(ForkJoinPool pool) { return new ForkJoinWorkerThread(pool) {}; } }
可以使用以下系统属性注册:
-Djava.util.concurrent.ForkJoinPool.common.threadFactory = MyForkJoinWorkerThreadFactory
MyForkJoinWorkerThreadFactory的行为当前等同于ForkJoinPool.defaultForkJoinWorkerThreadFactory 。
第二个更具体的解决方法是创建一个新的Fork / Join池。 在这种情况下, ForkJoinPool.defaultForkJoinWorkerThreadFactory将用于不接受ForkJoinWorkerThreadFactory参数的构造函数。 任何并行流执行都需要在从该池内执行的任务中执行。 请注意,这是一个实现细节,在将来的版本中可能会或可能不会。
您不必担心AccessController.doPrivileged 。 如果做得好,它不会降低安全性。 采用单个动作参数的版本将在您的上下文中执行操作,忽略您的调用者,但是有重载的方法,有一个额外的参数,以前记录的上下文:
private void doTest(boolean parallel) { Consumer createFile=name -> { try { Files.createTempFile(name, ".dat"); } catch (IOException e) { throw new UncheckedIOException("Failed to create temp file", e); } }, actualAction; Stream stream = Stream.of("1", "2", "3"); if(parallel) { stream = stream.parallel(); AccessControlContext ctx=AccessController.getContext(); actualAction=name -> AccessController.doPrivileged( (PrivilegedAction)()->{ createFile.accept(name); return null; }, ctx); } else actualAction = createFile; stream.forEach(actualAction); }
第一个重要的行是AccessControlContext ctx=AccessController.getContext(); 声明它记录您当前的安全上下文,其中包括您的代码和当前的调用者。 (请记住,有效权限是所有呼叫者的集合的交集 )。 通过将结果上下文对象ctx给Consumer的doPrivileged方法,您将重新建立上下文,换句话说, PrivilegedAction将具有与单线程方案中相同的权限。