“深入理解JVM:虚拟机类加载机制”的版本间差异
(→加载) |
(→验证) |
||
第79行: | 第79行: | ||
=== 验证 === | === 验证 === | ||
验证是连接阶段的第一步,这一阶段的目的是'''确保Class文件的字节流中包含的信息符合虚拟机的要求'''。 | |||
验证的必要性: | |||
: <pre> | |||
Java语言本身是相对安全的编程语言(起码对于C/C++来说是相对安全的),使用纯粹的Java代码无法做到诸如访问数组边界以外的数据、将一个对象转型为它并未实现的类型、跳转到不存在的代码行之类的事情,如果尝试这样去做了,编译器将地抛出异常、拒绝编译。 | |||
</pre> | |||
* Class文件并不一定只能由Java源码编译而来,上述Java代码无法做到的事情在字节码层面上都是可以实现的,至少语义上是可以表达出来的。 | |||
所以验证字节码是Java虚拟机保护自身的一项必要措施。 | |||
验证阶段大致上会完成下面四个阶段的检验动作:“'''文件格式'''验证”、“'''元数据'''验证”、“'''字节码'''验证”和“'''符号引用'''验证”。 | |||
* 如果程序运行的全部代码(包括自己编写的、第三方包中的、从外部加载的、动态生成的等所有代码)都已经被反复使用和验证过,在生产环境的实施阶段就可以考虑使用“'''-Xverify:none'''”参数来关闭大部分的类验证措施,以缩短虚拟机类加载的时间。 | |||
=== 文件格式验证 === | |||
验证字节流“是否符合Class文件格式的规范”,并且“能被当前版本的虚拟机处理”: | |||
* 是否以魔数0xCAFEBABE开头。 | |||
* 主、次版本号是否在当前Java虚拟机接受范围之内。 | |||
* 常量池的常量中是否有不被支持的常量类型(检查常量tag标志)。 | |||
* 指向常量的各种索引值中是否有指向不存在的常量或不符合类型的常量。 | |||
* CONSTANT_Utf8_info型的常量中是否有不符合UTF-8编码的数据。 | |||
* Class文件中各个部分及文件本身是否有被删除的或附加的其他信息。 | |||
* …… | |||
保证输入的字节流能正确地解析并存储于方法区之内,格式上符合描述一个Java类型信息的要求。 | |||
=== 元数据验证 === | |||
对字节码描述的信息进行语义分析,以保证其描述的信息符合《Java语言规范》的要求: | |||
* 这个类是否有父类(除了java.lang.Object之外,所有的类都应当有父类)。 | |||
* 这个类的父类是否继承了不允许被继承的类(被final修饰的类)。 | |||
* 如果这个类不是抽象类,是否实现了其父类或接口之中要求实现的所有方法。 | |||
* 类中的字段、方法是否与父类产生矛盾(例如覆盖了父类的final字段,或者出现不符合规则的方法重载,例如方法参数都一致,但返回值类型却不同等)。 | |||
* …… | |||
第二阶段的主要目的是对类的元数据信息进行语义校验,保证不存在与《Java语言规范》定义相悖的元数据信息。 | |||
=== 字节码验证 === | |||
通过数据流分析和控制流分析,确定程序语义是合法的、符合逻辑的: | |||
:: 在第二阶段对元数据信息中的数据类型校验完毕以后,这阶段就要对类的方法体(Class文件中的Code属性)进行校验分析,保证被校验类的方法在运行时不会做出危害虚拟机安全的行为,例如: | |||
* 保证任意时刻操作数栈的数据类型与指令代码序列都能配合工作,例如不会出现类似于“在操作栈放置了一个int类型的数据,使用时却按long类型来加载入本地变量表中”这样的情况。 | |||
* 保证任何跳转指令都不会跳转到方法体以外的字节码指令上。 | |||
* 保证方法体中的类型转换总是有效的,例如可以把一个子类对象赋值给父类数据类型,这是安全的,但是把父类对象赋值给子类数据类型,甚至把对象赋值给与它毫无继承关系、完全不相干的一个数据类型,则是危险和不合法的。 | |||
* …… | |||
关于字节码验证: | |||
# JDK 6的HotSpot虚拟机中提供了“-XX:-UseSplitVerifier”选项来关闭掉这项优化【把尽可能多的校验辅助措施挪到Javac编译器里进行,而给方法体Code属性的属性表中增加“StackMapTable”属性用于校验】,或者使用参数“-XX:+FailOverToOldVerifier”要求在类型校验失败的时候退回到旧的类型推导方式进行校验。 | |||
# JDK 7之后,使用类型检查来完成数据流分析校验则是唯一的选择,不允许再退回到原来的类型推导的校验方式。 | |||
* 如果一个方法体通过了字节码验证,也仍然不能保证它一定就是安全的。 | |||
*: 这里涉及了离散数学中一个很著名的问题——“停机问题”(Halting Problem),即不能通过程序准确地检查出程序是否能在有限的时间之内结束运行。在我们讨论字节码校验的上下文语境里,通俗一点的解释是“'''通过程序去校验程序逻辑是无法做到绝对准确的'''”,不可能用程序来准确判定一段程序是否存在Bug。 | |||
=== 符号引用验证 === | |||
* 【最后一个阶段的校验行为发生在虚拟机将“符号引用转化为直接引用”的时候(解析阶段)】 | |||
符号引用验证可以看作是对“'''类自身以外'''(常量池中的各种符号引用)的各类信息”进行匹配性校验,通俗来说就是,该类是否缺少或者被禁止访问它依赖的某些外部类、方法、字段等资源: | |||
* 符号引用中通过字符串描述的全限定名是否能找到对应的类。 | |||
* 在指定类中是否存在符合方法的字段描述符及简单名称所描述的方法和字段。 | |||
* 符号引用中的类、字段、方法的可访问性(private、protected、public、<package>)是否可被当前类访问。 | |||
* …… | |||
如果无法通过符号引用验证,Java虚拟机将会抛出一个“java.lang.IncompatibleClassChangeError”的子类异常,典型的如: | |||
* “java.lang.IllegalAccessError”、“java.lang.NoSuchFieldError”、“java.lang.NoSuchMethodError”等。 | |||
=== 准备 === | === 准备 === |
2020年10月25日 (日) 22:43的版本
概述
Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。
- 运行时加载:类型的加载、连接和初始化过程都是在程序运行期间完成的;
类加载的时机
类的生命周期:加载(Loading)、验证(Verification)、准备(Preparation)、解析(Resolution)、初始化(Initialization)、使用(Using)和卸载(Unloading);
- 其中验证、准备、解析三个部分统称为连接(Linking)。
- 加载、验证、准备、初始化和卸载这五个阶段的顺序是确定的,类型的加载过程必须按照这种顺序开始:
- 只按序“开始”,而不一定按序“进行”或“完成”:这些阶段通常都是互相交叉地混合进行的,会在一个阶段执行的过程中调用、激活另一个阶段;
- 而解析阶段则不一定:在某些情况下,解析可以在初始化阶段之后再开始,这是为了支持Java语言的运行时绑定特性(也称为动态绑定或晚期绑定);
加载的时机:“《Java虚拟机规范》中并没有进行强制约束,这点可以交给虚拟机的具体实现来自由把握。”
但是对于初始化阶段,《Java虚拟机规范》则是严格规定了有且只有六种情况必须立即对类进行“初始化”(而加载、验证、准备自然需要在此之前开始):
- 遇到“new”、“getstatic”、“putstatic”或“invokestatic”这四条字节码指令时,如果类型没有进行过初始化,则需要先触发其初始化阶段。能够生成这四条指令的典型Java代码场景有:
- 使用new关键字实例化对象的时候。
- 读取或设置一个类型的静态字段(被final修饰、已在编译期把结果放入常量池的静态字段除外)的时候。
- 调用一个类型的静态方法的时候。
- 使用“java.lang.reflect”包的方法对类型进行反射调用的时候,如果类型没有进行过初始化,则需要先触发其初始化。
- 当初始化类的时候,如果发现其父类还没有进行过初始化,则需要先触发其父类的初始化。
- 当虚拟机启动时,用户需要指定一个要执行的主类(包含main()方法的那个类),虚拟机会先初始化主类。
- 当使用JDK 7新加入的动态语言支持时,如果一个“java.lang.invoke.MethodHandle”实例最后的解析结果为“REF_getStatic”、“REF_putStatic”、“REF_invokeStatic”、“REF_newInvokeSpecial”四种类型的方法句柄,并且这个方法句柄对应的类没有进行过初始化,则需要先触发其初始化。【???】
- 当一个接口中定义了JDK 8新加入的默认方法(被default关键字修饰的接口方法)时,如果有这个接口的实现类发生了初始化,那该接口要在其之前被初始化。
除此之外,所有引用类型的方式都不会触发初始化,称为“被动引用”。
类加载的过程
加载
- “加载”(Loading)阶段是整个“类加载”(Class Loading)过程中的一个阶段。
在加载阶段,Java虚拟机需要完成以下三件事情:
- 通过一个类的全限定名来获取定义此类的二进制字节流。
- 将这个字节流所代表的静态存储结构转化为方法区的运行时数据结构。
- 在内存中生成一个代表这个类的java.lang.Class对象,作为方法区这个类的各种数据的访问入口。
关于“二进制字节流”,从以下方法获取:
- 从ZIP压缩包中读取:这很常见,最终成为日后JAR、EAR、WAR格式的基础。
- 从网络中获取:这种场景最典型的应用就是Web Applet。
- 运行时计算生成:这种场景使用得最多的就是动态代理技术,在java.lang.reflect.Proxy中,就是用了ProxyGenerator.generateProxyClass()来为特定接口生成形式为“*$Proxy”的代理类的二进制字节流。
- 由其他文件生成:典型场景是JSP应用,由JSP文件生成对应的Class文件。
- 从数据库中读取:这种场景相对少见些,例如有些中间件服务器(如SAP Netweaver)可以选择把程序安装到数据库中来完成程序代码在集群间的分发。
- 可以从加密文件中获取:这是典型的防Class文件被反编译的保护措施,通过加载时解密Class文件来保障程序运行逻辑不被窥探。
关于“方法区的运行时数据结构”,其方法区:
- JDK 8 之前,HotSpot用永久代来实现方法区;JDK 8 之后,废弃了永久代,改用“元空间”(Metaspace)来代替。(JDK1.7中已将字符串常量池移出到堆)
- 对于Hotspot而言,Class对象存是放在方法区的;(其他对象都是存放在堆中)
关于加载阶段:
- 非数组类的加载阶段:
- 既可以使用Java虚拟机里内置的引导类加载器来完成,也可以由用户自定义的类加载器去完成【重写一个类加载器的findClass()或loadClass()方法】;
- 数组类的加载阶段:
- 【数组的组件类型 Component Type:指的是数组去掉一个维度的类型】
- 【数组类的元素类型 ElementType:指的是数组去掉所有维度的类型】
- 数组类本身不通过类加载器创建,它是由Java虚拟机直接在内存中动态构造出来的;
- 数组类的元素类型由类加载器来完成加载:
- 如果数组的“组件类型”是引用类型,那就递归采用加载过程去加载这个组件类型,数组C将被标识在加载该组件类型的类加载器的类名称空间上【???】;
- 如果数组的“组件类型”不是引用类型(例如int[]数组的组件类型为int),Java虚拟机将会把数组C标记为与引导类加载器关联;
- 数组类的可访问性与它的组件类型的可访问性一致,如果组件类型不是引用类型,它的数组类的可访问性将默认为public,可被所有的类和接口访问到。
加载阶段与连接阶段的部分动作(如一部分字节码文件格式验证动作)是交叉进行的,加载阶段尚未完成,连接阶段可能已经开始,但这些夹在加载阶段之中进行的动作,仍然属于连接阶段的一部分,这两个阶段的开始时间仍然保持着固定的先后顺序。
验证
验证是连接阶段的第一步,这一阶段的目的是确保Class文件的字节流中包含的信息符合虚拟机的要求。
验证的必要性:
Java语言本身是相对安全的编程语言(起码对于C/C++来说是相对安全的),使用纯粹的Java代码无法做到诸如访问数组边界以外的数据、将一个对象转型为它并未实现的类型、跳转到不存在的代码行之类的事情,如果尝试这样去做了,编译器将地抛出异常、拒绝编译。
- Class文件并不一定只能由Java源码编译而来,上述Java代码无法做到的事情在字节码层面上都是可以实现的,至少语义上是可以表达出来的。
所以验证字节码是Java虚拟机保护自身的一项必要措施。
验证阶段大致上会完成下面四个阶段的检验动作:“文件格式验证”、“元数据验证”、“字节码验证”和“符号引用验证”。
- 如果程序运行的全部代码(包括自己编写的、第三方包中的、从外部加载的、动态生成的等所有代码)都已经被反复使用和验证过,在生产环境的实施阶段就可以考虑使用“-Xverify:none”参数来关闭大部分的类验证措施,以缩短虚拟机类加载的时间。
文件格式验证
验证字节流“是否符合Class文件格式的规范”,并且“能被当前版本的虚拟机处理”:
- 是否以魔数0xCAFEBABE开头。
- 主、次版本号是否在当前Java虚拟机接受范围之内。
- 常量池的常量中是否有不被支持的常量类型(检查常量tag标志)。
- 指向常量的各种索引值中是否有指向不存在的常量或不符合类型的常量。
- CONSTANT_Utf8_info型的常量中是否有不符合UTF-8编码的数据。
- Class文件中各个部分及文件本身是否有被删除的或附加的其他信息。
- ……
保证输入的字节流能正确地解析并存储于方法区之内,格式上符合描述一个Java类型信息的要求。
元数据验证
对字节码描述的信息进行语义分析,以保证其描述的信息符合《Java语言规范》的要求:
- 这个类是否有父类(除了java.lang.Object之外,所有的类都应当有父类)。
- 这个类的父类是否继承了不允许被继承的类(被final修饰的类)。
- 如果这个类不是抽象类,是否实现了其父类或接口之中要求实现的所有方法。
- 类中的字段、方法是否与父类产生矛盾(例如覆盖了父类的final字段,或者出现不符合规则的方法重载,例如方法参数都一致,但返回值类型却不同等)。
- ……
第二阶段的主要目的是对类的元数据信息进行语义校验,保证不存在与《Java语言规范》定义相悖的元数据信息。
字节码验证
通过数据流分析和控制流分析,确定程序语义是合法的、符合逻辑的:
- 在第二阶段对元数据信息中的数据类型校验完毕以后,这阶段就要对类的方法体(Class文件中的Code属性)进行校验分析,保证被校验类的方法在运行时不会做出危害虚拟机安全的行为,例如:
- 保证任意时刻操作数栈的数据类型与指令代码序列都能配合工作,例如不会出现类似于“在操作栈放置了一个int类型的数据,使用时却按long类型来加载入本地变量表中”这样的情况。
- 保证任何跳转指令都不会跳转到方法体以外的字节码指令上。
- 保证方法体中的类型转换总是有效的,例如可以把一个子类对象赋值给父类数据类型,这是安全的,但是把父类对象赋值给子类数据类型,甚至把对象赋值给与它毫无继承关系、完全不相干的一个数据类型,则是危险和不合法的。
- ……
关于字节码验证:
- JDK 6的HotSpot虚拟机中提供了“-XX:-UseSplitVerifier”选项来关闭掉这项优化【把尽可能多的校验辅助措施挪到Javac编译器里进行,而给方法体Code属性的属性表中增加“StackMapTable”属性用于校验】,或者使用参数“-XX:+FailOverToOldVerifier”要求在类型校验失败的时候退回到旧的类型推导方式进行校验。
- JDK 7之后,使用类型检查来完成数据流分析校验则是唯一的选择,不允许再退回到原来的类型推导的校验方式。
- 如果一个方法体通过了字节码验证,也仍然不能保证它一定就是安全的。
- 这里涉及了离散数学中一个很著名的问题——“停机问题”(Halting Problem),即不能通过程序准确地检查出程序是否能在有限的时间之内结束运行。在我们讨论字节码校验的上下文语境里,通俗一点的解释是“通过程序去校验程序逻辑是无法做到绝对准确的”,不可能用程序来准确判定一段程序是否存在Bug。
符号引用验证
- 【最后一个阶段的校验行为发生在虚拟机将“符号引用转化为直接引用”的时候(解析阶段)】
符号引用验证可以看作是对“类自身以外(常量池中的各种符号引用)的各类信息”进行匹配性校验,通俗来说就是,该类是否缺少或者被禁止访问它依赖的某些外部类、方法、字段等资源:
- 符号引用中通过字符串描述的全限定名是否能找到对应的类。
- 在指定类中是否存在符合方法的字段描述符及简单名称所描述的方法和字段。
- 符号引用中的类、字段、方法的可访问性(private、protected、public、<package>)是否可被当前类访问。
- ……
如果无法通过符号引用验证,Java虚拟机将会抛出一个“java.lang.IncompatibleClassChangeError”的子类异常,典型的如:
- “java.lang.IllegalAccessError”、“java.lang.NoSuchFieldError”、“java.lang.NoSuchMethodError”等。