起到第一道安全保障作用的”雙親委派類載入模型”

雙親委派方式的類載入，指的是優先從頂層啟動類載入器開始，自頂向下的方式載入類的模型（參見第一條類裝載器體系結構）。

這種模型的好處是，底層的類裝載器裝載的類無法與頂層類裝載器裝載的類相互呼叫。
哪怕是同包下的類，只要他們不屬於同一類裝載器，都是相互隔絕的。這對一些有安全隱患的類起到了安全隔離的作用。使它不能冒充系統類來破壞程式正常運作。

此外，不同的類裝載器，也有自己的類裝載範圍。比如啟動類裝載器，它只會裝在jdk/lib目錄下的包/類，因此，系統級的類是相對安全的。

class檔案校驗器，通過四趟掃描，保證了class檔案正確

第一趟是，檢查class檔案的結構是否正確。比較典型的就是，檢查class檔案是否以魔數OxCAFEBABE打頭。
通過這趟檢查，可以過濾掉大部分可能損壞的，或者壓根就不是class的檔案，來冒充裝載。

第二趟是，檢查它是否符合java語言特性裡的編譯規則。比如發現一個類的超類不是Object，就丟擲異常。

第三趟是，檢查位元組碼是否能被JVM安全的執行，而不會導致JVM崩潰。這裡提到了一個停機的問題。內容是這樣的，“即不可能寫出一個程式，用它來判定作為其輸入而讀入的某個程式，是否會停機”。意思是，不可能寫一個程式，讓它告訴你，另外一個程式會不會中斷或崩潰。

第四趟是，符號引用驗證。一個類檔案，它會包含它引用的其他類的全名和描述符，並跟他們建立符號引用（一種虛擬的，非物理連線的方式）。當程式第一次執行到需要符號引用的位置時，jvm會檢查這個符號連結的正確性，然後建立真正的物理引用(直接引用)。

jvm型別安全特性

這些都是基礎的java語言特性，他們降低了java程式出現記憶體混亂，崩潰的機率。
結構化記憶體訪問（不使用指標，一定程度上讓黑客無法篡改記憶體資料）
自動垃圾收集
陣列邊界檢查
空引用檢查
資料型別安全

Java api的安全管理器 securityManager

這是安全沙箱中，離我們程式設計師最接近的一環。
securityMananger，是一個api級別的，可自定義的安全策略管理器，它深入到java api中，在各處都可以見到它的身影。比如SecurityClassLoader。

預設情況下，java應用程式是不設定 securityManager 例項的(意味著不會起到安全檢查)，這個例項需要我們在程式啟動時通過 System.setSecurityManager 來設定。

一般情況下，檢查許可權是，通過 SecurityManager.checkPermission(Permission perm) 來完成的。外部程式通過，建立Permission例項，傳遞給前面的check。

Permission是一個抽象類，需要繼承它實現不同的許可權驗證，比如 FilePermission，代表對某個檔案的讀寫許可權。
new FilePermission(”test.txt”, “read”)
你可以將這個例項，扔給 SecurityManager,檢查是否可讀text.txt這個檔案。

java簽名/證書機制

java簽名/證書機制，可以保障使用者，安全地呼叫外部提供的jar，防止你信任的jar被篡改。

首先，java的簽名，必須是基於jar包的。也就是說，你必須將你要提供的class，打包到jar裡。
然後，通過 java 提供的簽名工具（jarsigner）對jar包進行簽名，釋出。

簽名原理：
使用非對稱演算法，生成一對公鑰/私鑰。

證書
證書是在簽名基礎上，對簽名值，再進一步做一次加密。而這次加密使用的私鑰和公鑰都是證書機構提供的。
這種方式，是為了防止，有些惡意使用者，在公鑰發到你手上前，就對其做了手腳，然後再發一個動過手腳的jar給你，用動過手腳的公鑰解動過手腳的jar包，是可以解開的。
而使用證書後，它會對已經加密的簽名值，再做一層加密，這樣，到你手裡，你只需要通過證書機構的公鑰進行解密，然後再用jar包釋出者的公鑰解密就行了。(只能在一定程度上，提供一些安全性)