リフレクションを使用してJavaのプライベートメソッドとコンストラクタにアクセスするように開発者を制限するにはどうすればよいですか？

Question

リフレクションを使用してJavaのプライベートメソッドとコンストラクタにアクセスするように開発者を制限するにはどうすればよいですか？

通常のJavaコードを使用して、プライベートコンストラクタやクラス外のプライベートメソッドにアクセスすることはできません。しかし、リフレクションを使用することで、Javaクラスの任意のプライベートメソッドとコンストラクタにアクセスできます。

Javaコードにどのようにセキュリティを与えることができますか？

Answer 1

SecurityManagerと十分に制限的なsecurity policyを使用してアプリケーションを実行します。

short summary in the tutorialと詳細情報はthe security documentationです。

Answer 2

あなた（問題のコードの開発者として）はこれを行うことはできません。

アプリケーションを実行するエンドユーザーは、リフレクションを禁止するSecurityManagerをインストールできます。

Answer 3

プライベートメソッド/コンストラクタのすべてにcheckPermission()メソッドを追加します。 checkPermission sun.reflect.Reflection.getCallerClass(int n) by assert callerClass=selfClass

getCallerClassは、realFramesToSkipフレームのクラスをスタック（ゼロベース）に戻し、java.lang.reflect.Method.invoke()に関連付けられたフレームとその実装を無視します。最初のフレームはこのメソッドに関連付けられているフレームなので、getCallerClass(0)はsun.reflect.ReflectionのClassオブジェクトを返します。

public class PrivateConstructorClass { 

    private PrivateConstructorClass() { 
     checkPerMission(); 
       //you own code go below 
    } 

    void checkPerMission() { 
     Class self = sun.reflect.Reflection.getCallerClass(1); 
     Class caller = sun.reflect.Reflection.getCallerClass(3); 
     if (self != caller) { 
      throw new java.lang.IllegalAccessError(); 
     } 
    } 
} 

あなたが反映テストしようとすることができ、それは失敗します。

public class TestPrivateMain { 

    Object newInstance() throws Exception { 

     final Class<?> c = Class.forName("package.TestPrivate"); 

     final Constructor<?> constructor = c.getDeclaredConstructor(); 
     constructor.setAccessible(true); 
     return constructor.newInstance(); 

    } 

    public static void main(String[] args) throws Exception { 
     Object t = new TestPrivateMain().newInstance(); 
    } 
}