Java安全管理器Security Manager

    每个Java应用都可以有自己的安全管理器，它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权，以实施应用所需的安全策略，从而保护资源免受恶意操作的攻击。实际上，安全管理器根据Java安全策略文件决定将哪组权限授予类。然而，当不可信的类和第三方应用使用JVM时，Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下，威胁模型不包含运行于JVM中的恶意代码，此时Java安全管理器便不是必需的。当安全管理器检测到违反安全策略的操作时，JVM将引发AccessControlException或SecurityException。
    在Java应用中，安全管理器是由System类中的方法setSecurityManager设置的。要获得当前的安全管理器，可以使用方法getSecurityManager。
    java.lang.SecurityManager类包含了很多checkXXXX方法，如用于判断对文件访问权限的checkRead(String file)方法。这些检查方法调用SecurityManager.checkPermission方法，后者根据安全策略文件判断调用应用是否有执行所请求的操作权限。如果没有，将引发SecurityException。
    如果想让应用使用安全管理器和安全策略，可在启动JVM时设定-Djava.security.manager选项，还可以同时指定安全策略文件。如果在应用中启用了Java安全管理器，却没有指定安全策略文件，那么Java安全管理器将使用默认的安全策略，它们是由位于目录$JAVA_HOME/jre/lib/security中的java.policy定义的。
概念
策略(Policy)
    类装载器用Policy对象帮助它们决定，把一段代码导入虚拟机时应该给它们什么样的权限. 任何时候，每一个应用程序都只有一个Policy对象.
策略文件
    Sun的java1.2平台具体的Policy子类采用在一ASCII策略文件中用上下文无关文法描述安全策略.
    一个策略文件包括了一系列grant子句，每一个grant子句将一些权限授给一个代码来源。
保护域(ProtectionDomain)
    当类装载器将类型装入java虚拟机时，它们将为每一个类型指派一个保护域，保护域定义了授予一段特定的代码的所有权限.装载入java虚拟机的每一个类型都属于一个且仅属于一个保护域.
访问控制器(AccessController)
    implies()
        判断一个Permissioin对象的权限，是否隐含(imply)在另一个Permissio