SecurityException 仅在启用 SecurityManager 时触发,JDK 9 起废弃、17 默认移除、21 彻底删除;本地不抛异常因无 SecurityManager;常见于遗留 Applet、旧 Web 容器或手动设置;需策略文件配合启动参数复现。
Java 的 SecurityException 不是代码写错了,而是沙箱机制在说“你不被允许这么做”——它只在启用了安全管理器(SecurityManager)时才真正生效,而现代 JDK(9+)默认已移除该机制,所以你本地跑不出这个异常,除非主动配了策略文件或用了老 JVM。
为什么本地运行从不抛 SecurityException?
因为 JDK 17 默认没有 SecurityManager,连类都已被标记为 @Deprecated(forRemoval = true);JDK 9 起就逐步废弃,JDK 21 彻底删除。你看到的报错,基本来自三种场景:遗留 Applet、老版本 Web 容器(如 Tomcat 8 早期)、或手动调用 System.setSecurityManager(new SecurityManager())。
- 检查是否显式设置了安全管理器:
System.getSecurityManager()返回非null才可能触发拦截 - 确认 JDK 版本:
java -version输出含17或更高,基本可排除原生沙箱 - 某些容器(如旧版 OSGi、WebLogic)会自己加载策略,此时异常堆栈里会有
accessControlContext.checkPermission调用链
哪些操作会被 SecurityManager 拦住?
不是所有敏感操作都抛 SecurityException,只有明确调用 checkPermission 的地方才会。常见被拦的操作集中在资源访问和反射控制:
-
System.getProperty("user.home")—— 若策略未授权PropertyPermission "user.home" "read",就失败 -
new FileInputStream("/etc/passwd")—— 需FilePermission "/etc/passwd" "read" -
Class.forName("com.sun.crypto.provider.AESKeyGenerator").getDeclaredConstructor()—— 反射获取私有构造器需RuntimePermission "accessDeclaredMembers" -
Thread.currentThread().stop()—— 已废弃且受RuntimePermission "stopThread"控制
注意:这些权限检查不会发生在普通方法调用里,只在 SecurityManager 显式插桩的位置触发。
立即学习“Java免费学习笔记(深入)”;
如何复现和调试这个异常?
想看到真实 SecurityException,得手动启用沙箱并限制权限,但别用过时的 -Djava.security.manager(JDK 17+ 报错),改用策略文件 + 启动参数:
- 写一个最小策略文件
deny-all.policy:grant { permission java.lang.RuntimePermission "exitVM"; };(只放一条许可,其余全拒) - 启动时加参数:
java -Djava.security.manager -Djava.security.policy=deny-all.policy MyApp - 在代码里调用
System.getProperty("os.name")就会立即抛SecurityException,堆栈末尾是at java.base/java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1290) - 用
java -Djava.security.debug=access,failure可打印每次权限检查的详情,比看异常更早发现问题点
迁移老代码时最常漏掉的点
很多项目升级 JDK 后发现功能异常,不是因为 SecurityException 消失了,而是原来靠沙箱挡掉的非法操作,现在直接执行成功了——比如读取敏感系统属性、反射修改 final 字段、甚至动态生成类。这反而带来隐蔽的安全风险。
- 别依赖
SecurityManager做业务逻辑校验,它早已不是 Java 的权限主力;改用java.security.AccessController的声明式注解(如@CallerSensitive)或 Spring Security 等框架级控制 - 若必须兼容旧策略,可用
java.security.Policy子类自定义权限决策,但要注意 JDK 17+ 的Policy.getInstance("JavaPolicy", ...)已不可用 - 日志里如果还搜到
java.lang.SecurityException: Prohibited package name,说明用了java.开头的自定义包名——这是硬编码在类加载器里的拦截,跟策略文件无关,必须改包名
真正麻烦的从来不是怎么抛出这个异常,而是当它不抛了,你还以为自己守住了边界。
