本节书摘来华章计算机《数据结构与抽象:Java语言描述(原书第4版)》一书中的第2章 ,第2.1节,[美]弗兰克M.卡拉诺(Frank M. Carrano) 蒂莫西M.亨利(Timothy M. Henry) 著 罗得岛大学 新英格兰理工学院 辛运帏 饶一梅 译 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.1.4 让实现安全
鉴于当今黑客及对重要软件系统未经授权入侵的现实情况,程序员必须在代码中添加安全措施,以使程序对使用者是安全的。虽然Java为你管理内存,检查数组下标的合法性,且是类型安全的,但一个错误会使你的代码易受攻击。实现ADT时应该时刻铭记安全性,尽管在已有的代码中增加安全机制可能是困难的。
注:你可以在程序中检查可能出现的错误来练习有安全机制的程序设计(fail-safe programming)。安全可靠程序设计(safe and secure programming)通过验证输入给方法的数据和参数的合法性,消除方法的副作用,对客户和使用者的行为不做任何假设,来扩展有安全机制的程序设计的概念。
安全说明:保护ADT实现的完整性
当实现一个ADT时,必须问自己的两个问题是
- 如果构造方法没有完全执行,那么可能会发生什么?例如,构造方法可能在完成初始化之前就抛出一个异常或错误。但是入侵者可能捕获异常或错误,并试图使用部分初始化的对象。
- 如果客户试图创建一个其容量超出给定范围的包,那么可能会发生什么?
如果这两个动作可能导致问题,则我们必须阻止它们。
对于类ArrayBag,我们想防范前面安全说明中所描述的两种情形。现在开始细化ArrayBag的不完整的实现,在类中增加下列两个数据域,以使代码更安全:
这两个修改都涉及构造方法。因为默认的构造方法调用带参数的构造方法,所以仅修改后者就足够了。为确保客户不能创建太大的包,构造方法应该检查客户所需包的容量与MAX_CAPACITY值。如果需要的容量太大,则构造方法可以抛出一个异常。
如果所需的容量处在允许范围内,则ArrayBag的构造方法为什么还不能正确完成呢?因为内存不足可能导致分配数组失败。这样一个事件会导致错误OutOfMemoryError。一般地,客户将这个错误看作致命事件。黑客可能捕获这个错误(就像你捕获异常一样),并试图使用部分初始化的对象。为防止这种情况,类的每个重要方法在执行其操作之前都可以检查域initialized的状态。这样,畸形对象就不会再有动作。对于正确初始化的对象,构造方法将把域initialized置为真。
下面是修改后的构造方法。
注意,构造方法在成功完成其他任务后,最后一个动作是将initialized赋值为真。还应注意,IllegalStateException是标准运行时异常。
下面来看看如何使用initialized。
在数组bag已成功分配的基础上,ArrayBag中的任何公有方法在继续执行之前都应该确保数据域initialized的值为真。如果initialized为假,这样的方法可以抛出一个异常。例如,可以如下所示修改方法add。
注:异常SecurityException和IllegalStateException都是包java.lang中的标准运行时异常。因此,不需要import语句。
因为我们将在多个方法中检查initialized,所以为避免代码重复定义下列私有方法。
方法add可以修改为:
应该以相同的方式修改核心方法toArray,因为它用到了ArrayBag的数据域bag。
安全说明:你所熟知的编写Java代码的某些常见准则,实际上增加了代码的安全性。这些准则是:
- 将类的大多数数据域声明为私有的,如果不是全部。任何公有数据域都应该是静态和终态的,且有常量值。
- 避免那些掩盖代码安全性的所谓聪明的逻辑。
- 避免重复代码。相反,将这样的代码封装为一个可供其他方法调用的私有方法。
- 当构造方法调用一个方法时,确保这个方法不能被重写。
安全说明:终态类。注意,我们将ArrayBag声明为一个终态类。因此,不会有从ArrayBag派生的其他类,即ArrayBag不能是另一个类的父类或基类。终态类比非终态类更安全,因为程序员不能使用继承来改变它的行为。稍后我们将细化这个方法,定义终态方法而不是整个类。
