枚举单例模式如何防止反射攻击

MartinDai 发布于2019-08-14 11:52 / 374人阅读

摘要：枚举单例以上是一个单例枚举的例子，而我们要获取该实例只需要，并且此种方式可以保证该单例线程安全防反射攻击防止序列化生成新的实例。

关于单例模式，相信大家都所有了解，比较经典的实现有饿汉式、借助内部类、双重锁检测，这些实现可以保证线程安全，但是在某些特殊情况下并不能够保证仅仅只有一个单例，因为像序列化、反射攻击等往往可以生成新的实例对象，本文将重点分析枚举单例模式如何防止反射攻击。

枚举单例：

public enum Singleton {
    INSTANCE {

        @Override
        protected void read() {
            System.out.println("read");
        }

        @Override
        protected void write() {
            System.out.println("write");
        }

    };
    protected abstract void read();
    protected abstract void write();
}

以上是一个单例枚举的例子，而我们要获取该实例只需要Singleton.INSTANCE，并且此种方式可以保证该单例线程安全、防反射攻击、防止序列化生成新的实例。

枚举单例关于防反射攻击，当然和枚举的实现有关，枚举也是java类，我们对Singleton的class进行反编译，可以得到一个新的类（对于枚举的实现不了解的可以补补相关知识）：

反编译后的类：

public abstract class Singleton extends Enum
{

    private Singleton(String s, int i)
    {
        super(s, i);
    }

    protected abstract void read();

    protected abstract void write();

    public static Singleton[] values()
    {
        Singleton asingleton[];
        int i;
        Singleton asingleton1[];
        System.arraycopy(asingleton = ENUM$VALUES, 0, asingleton1 = new Singleton[i = asingleton.length], 0, i);
        return asingleton1;
    }

    public static Singleton valueOf(String s)
    {
        return (Singleton)Enum.valueOf(singleton/Singleton, s);
    }

    Singleton(String s, int i, Singleton singleton)
    {
        this(s, i);
    }

    public static final Singleton INSTANCE;
    private static final Singleton ENUM$VALUES[];

    static 
    {
        INSTANCE = new Singleton("INSTANCE", 0) {

            protected void read()
            {
                System.out.println("read");
            }

            protected void write()
            {
                System.out.println("write");
            }

        };
        ENUM$VALUES = (new Singleton[] {
            INSTANCE
        });
    }
}

看到了这个类的真身过后，相信很多人对于枚举单例防反射的的原理就了解了：

类的修饰abstract，所以没法实例化，反射也无能为力。

关于线程安全的保证，其实是通过类加载机制来保证的，我们看看INSTANCE的实例化时机，是在static块中，JVM加载类的过程显然是线程安全的。

对于防止反序列化生成新实例的问题还不是很明白，一般的方法我们会在该类中添加上如下方法，不过枚举中也没有显示的写明该方法。

    //readResolve to prevent another instance of Singleton
    private Object readResolve(){
        return INSTANCE;
    }

如果写的有问题，欢迎指正~

云服务器 GPU云服务器如何防止dos攻击如何防止网站被攻击如何防止cc攻击如何防止ddos的攻击

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/64156.html

设计模式之单例模式

摘要：反射攻击首先我们来看一下反射调用，以双重检验方式为例反射攻击输出结果是反射攻击结果私有构造方法被调用次私有构造方法被调用次从结果可以看到，私有的构造函数被调用了两次，也就是说这样的单例模式并不安全。 showImg(https://segmentfault.com/img/bV1fer?w=900&h=500); 保证一个类仅有一个实例，并提供一个访问它的全局访问点。——艾迪生维斯理 ...

cnsworder 2019-08-15 13:28 评论0 收藏0
设计模式之单例模式

摘要：单例模式关注的重点私有构造器线程安全延迟加载序列化和反序列化安全反射攻击安全相关设计模式单例模式和工厂模式工厂类可以设计成单例模式。 0x01.定义与类型定义：保证一个类仅有一个实例，并提供一个全局访问点类型：创建型 UML showImg(https://segmentfault.com/img/bVbtDJ2?w=402&h=268); 单例模式的基本要素私有的构造方...

陆斌 2019-08-16 17:59 评论0 收藏0
面试官所认为的单例模式

摘要：防止指令重排序防止时指令重排序导致其他线程获取到未初始化完的对象。枚举类默认枚举实例的创建是线程安全的，所以不需要担心线程安全的问题。单例模式是23种GOF模式中最简单，也是最经常出现的一种设计模式，也是面试官最常爱考的一种模式，为什么呢？因为单例模式足够简单，编写一个单例模式代码几分钟就能搞定，所以设计模式中面试官通常会选取单例模式作为出题。下面把单例模式分几个点，分别说说哪些地方...

codeKK 2019-08-19 10:46 评论0 收藏0
ABAP和Java单例模式的攻防

摘要：然而我只需要将这个单例类的构造函数通过反射设置成可以访问，然后就能通过反射调用该构造函数，进而生成新的对象实例。针对这种攻击，一种可行的防御措施是在单例类的构造函数内定义一个布尔变量，初始化为。当构造函数执行后，该变量被置为。 ABAP CLASS zcl_jerry_singleton DEFINITION PUBLIC FINAL CREATE PRIVATE . PUB...

alanoddsoff 2019-08-16 13:33 评论0 收藏0