JRuby 的 Java 安全管理器

Posted 2023-04-13

【中文标题】JRuby 的 Java 安全管理器

【英文标题】：Java Security Manager for JRuby

【发布时间】：2010-06-03 11:05:17

【问题描述】：

当为 Jruby 脚本使用 Java 安全管理器时，是否可以单独授予特定脚本完全权限？

【参考方案1】：

可能还有另一个答案：如果您想将单独的安全管理器应用于单独的脚本，那么您总是可以在单独的类加载器中启动单独的 JRuby 实例。他们不会分享任何东西，应该保持相当孤立。但尼克是对的，目前 JRuby 中没有内置任何东西来沙箱单个脚本，我们也没有任何计划这样做......

【讨论】：

是否可以获得至少一些关于当前正在运行的脚本的信息？例如，在 java 中使用 invokeFunction 我在 ruby​​ 脚本中调用一个函数，该函数又在另一个脚本中调用一个函数，依此类推..

这是可能的，但需要一些挖掘；在解释代码时，除了 Java 堆栈上的 JRuby 解释器框架，您什么也看不到。您有几个选择： * 探索 org.jruby.runtime.ThreadContext 和 org.jruby.runtime.Frame，我们用来表示正在运行的 Ruby 线程和 Ruby 调用它正在解释的内部运行时结构。 * 强制所有内容在执行前编译，以便脚本名称显示在 Java 回溯中。

【参考方案2】：

如果您的意思是对应用不同权限的不同脚本使用 same 安全管理器，那么答案是否定的，除非您自己编写安全管理器以某种方式感知脚本。无法在安全策略文件中指定脚本（就像对类一样）。我目前看到两个选项：

编写一个自定义安全管理器，让其知道正在运行的脚本， 将 JRuby 脚本编译为 Java 类（使用 jrubyc --java）并将权限应用于不同的 Java 类。

关于 2 的帮助，我建议查看 Charlie 的 recent post。

【讨论】：

您能否详细说明第一个答案？是否可以让安全管理员了解正在运行的脚本？

您需要使用 JRuby 嵌入 API 来驱动您的脚本，以确保您可以从安全管理器中访问运行时结构。这里有一个小例子可以给你一个想法：gist.github.com/443025（请注意org.jruby.embed 包之外的 API 可能会发生变化。）

我正在使用 JSR223，它也可以这样工作！谢谢你的帮助！ :)