Frage zu ClassLoadern

Landei · 12. Juli 2017 um 10:13

package rummage.manipulator;
public class Foo {
    public String get() {   return "foo";   }
} 

package rummage.manipulator;
public class Bar extends Foo {
    @Override
    public String get() {  return "bar";   }
}

public class Test {
    public static class MyRunnable implements Runnable {
        @Override
        public void run() {    System.out.println(new Foo().get());  }
    }

    public static void main(String[] args) throws Exception {
        ClassLoader classLoader = new ClassLoader(Test.class.getClassLoader()) {
            @Override
            public Class<?> loadClass(String name) throws ClassNotFoundException {
                return name.equals("rummage.manipulator.Foo")
                ? super.loadClass("rummage.manipulator.Bar")
                : super.loadClass(name);
            }};
        Thread thread = new Thread((Runnable)
             classLoader.loadClass(MyRunnable.class.getName()).newInstance());
        thread.setContextClassLoader(classLoader);
        thread.start();
    }
}

Warum liefert hier new Foo() ein Foo, obwohl mein ClassLoader in dem Thread aktiv ist (und bei Aufruf von loadClass auch brav Bar.class liefert)?

anon19643277 · 12. Juli 2017 um 10:57

Weil loadClass des SystemClassLoaders bereits durch new Foo() explizit aufgerunfen wird, bevor dir dein Classloader überhaupt Bar liefern kann.

Aber so wie du das hier machst, wird das nichts, weil Bar in jedem Fall als Bar geladen wird und deshalb auch nur mit new Bar instanziert werden kann. Das new Foo() müsste also auch über deinen Classloader erfolgen und die Instanzierung ebenfalls mit newInstance().

Landei · 12. Juli 2017 um 11:13

Schade, dann kann ich das wohl knicken.

Marco13 · 12. Juli 2017 um 18:10

Nur aus Neugier: Was sollte damit denn erreicht werden? (Ja, eine andere Klasse geladen… aber - mit welchen Ziel?)

Landei · 12. Juli 2017 um 18:18

Das Äquivalent von Foo wird innerhalb einer Bibliothek in einer anderen Klasse instanziiert und ausgelesen. Leider sind in dem Foo Sachen fest verdrahtet, die wir gerne geändert hätten. Da wir die Objekterzeugung dort nicht unter Kontrolle haben und auch nicht an die Instanz rankommen (um sie z.B. mit Reflection zu manipulieren, bevor sie ausgelesen wird), war das meine Idee, um zu reinzuschummeln.

Marco13 · 12. Juli 2017 um 21:37

Nun, es gibt ja andere Wege, um der JVM irgendwas unterzujubeln. Ich denke, eine komplett andere Klasse wird schwierig. Wer soll wo sicherstellen, dass die Klassen die gleichen Methoden haben? Selbst wenn es ginge, müßte man/ich mal drüber nachdenken, ob man dann nicht einfach mit sowas wie

class MyClassLoader {
    ...
    if (name.equals("SecurityManager")) return MyVerySpecialSecurityManager();
};
someGlobalThreadGroup.setClassLoader(new MyClassLoader());

sämtliche Security-Mechanismen aushebeln könnte.

Wie auch immer: Mit

java -Xbootclasspath:fixedLibrary.jar;C:\jre\lib\rt.jar YourProgram

solltest du ihm jede beliebige Klasse unterjubeln können, die in „fixedLibrary.jar“ liegt - sofern sie den gleichen Namen hat, wie das Original. (Das hatte ich mal für https://stackoverflow.com/a/22098863/3182664 - d.h. das geht sogar mit solchen Innereien wie java.lang.String ! ). Ob das hilft oder bei dir andwendbar ist, ist nicht ganz klar…

Landei · 12. Juli 2017 um 21:56

Deshalb leitet mein Bar ja auch von Foo ab.

Auf sowas ähnliches ist es am Ende auch hinausgelaufen.

Noctarius · 13. Juli 2017 um 05:49

Was du benötigst ist ein FilteringClassLoader, der entsprechend verhindert, dass bereits geladene Klassen genutzt werden. Dies geschieht dadurch, dass du den Parent-ClassLoader löscht (um die automatische Delegation zu verhindern) und dann Packages die der FCL laden soll, selber behandelst und erst nachfolgend an den ehemaligen Parent weitergibst (oder ganz abblockst).

Allerdings ist bei dir ein anderes Problem. Du willst von der Original-Klasse ableiten, ergo müsste diese wiederbekannt sein. Am einfachsten kannst du das fixen, indem Foo und Bar ein gemeinsames Interface implementieren. Im letzten Schritt muss MyRunnable.class dann, ähnlich wie du es auch schon machst, vom FilteringClassLoader geladen werden. Denk hier daran, dass der FCL entsprechend das original Package auf der Blacklist hat.

In Hazelcast nutzen wir das übrigens in den Client Tests um sicherzustellen, dass, obwohl Client und Node in der selben JVM laufen, der Node keinen Zugriff auf die Modellklassen hat, also rein mit den serialisierten Objekten arbeiten muss.

github.com

hazelcast/hazelcast/blob/77ee1969666d385b1bcbc6a6294911f398b7e9fd/hazelcast/src/main/java/com/hazelcast/util/FilteringClassLoader.java

/*
 * Copyright (c) 2008-2017, Hazelcast, Inc. All Rights Reserved.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 * http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package com.hazelcast.util;

import com.hazelcast.internal.usercodedeployment.impl.ClassloadingMutexProvider;
import com.hazelcast.spi.annotation.PrivateApi;

This file has been truncated. show original

Marco13 · 13. Juli 2017 um 11:34

Falls ich das richtig verstanden habe, wird das mit dem gemeinsamen Interface schwierig: Wenn man Kontrolle über alles hätte, könnte man ja direkt die Implementierung ändern Aber zumindest gut zu wissen, dass solches „Filtering“ zumindest grundsätzlich möglich ist.

OT: parent.setAccessible(true); Gerüchten zufolge soll das mit Java 9 doch krachen, oder?