一、加载(Loading)
- 在加载阶段,Java 虚拟机需要完成以下三件事情:
- 通过一个类的全限定名来获取定义此类的二进制字节流
- 将这个字节流所代表的静态存储结构转化为方法区的运行时数据结构
- 在内存中生成一个代表这个类的 java.lang.Class 对象,作为方法区这个类的各种数据的访问入口
- 对于这三点,《Java 虚拟机规范》中没有特别的要求。比如获取类的二进制字节流就有很多种方式:
- 从 ZIP、JAR、EAR、WAR 压缩包中读取
- 从网络中获取,比如 WebApplet
- 运行时计算生成,比如动态代理技术,java.lang.reflect.Proxy 中就是用了 ProxyGenerator.generateProxyClass() 来为特定接口生成形式为“*$Proxy”的代理类的二进制字节流
- 由其他文件生成,比如 JSP 应用,由 JSP 文件生成对应的 Class 文件
- 从数据库中读取,比如有些中间件服务器(如 SAP NetWeaver)可以选择把程序安装到数据库中来完成程序代码在集群间的分发
- 从加密文件中获取,是典型的防止反编译的保护措施,通过加载时解密 Class 文件来保障程序运行逻辑不被窥探
- ……
- 在类加载过程中,加载阶段是开发人员可控性最强的阶段:既可以使用 Java 虚拟机内置的引导类加载器完成,也可以由用户自定义的类加载器完成。开发人员可以自定义类加载器控制字节流的获取方式(重写一个类加载器的 findClass() 或 loadClass() 方法),实现应用程序获取运行代码的动态性
- 数组类本身不通过类加载器创建,它是由 Java 虚拟机直接在内存中动态构造出来的。但数组类的元素类型(Element Type,指数组去掉所有维度的类型)还是要靠类加载器加载。一个数组类(下面简称 C)的创建过程遵循以下规则:
- 如果数组的组件类型(Component Type,指数组去掉一个维度的类型)是引用类型,那就递归采用加载过程去加载这个组件类型,数组 C 将被标识在加载该组件类型的类加载器的类名称空间上
- 如果数组的组件类型不是引用类型(如 int[]),Java 虚拟机将会把数组 C 标记为与引导类加载器关联
- 数组类的可访问性与它的组件类型的可访问性一致,如果组件类型不是引用类型,该数组类的可访问性将默认为 public
- 加载阶段结束后,Java 虚拟机外部的二进制字节流就按照虚拟机所设定的格式存储在方法区中了。方法区中的数据存储格式完全由虚拟机实现自行定义,《Java 虚拟机规范》未规定此区域的具体数据结构
- 类型数据妥善安置在方法区之后,会在 Java 堆内存中实例化一个 java.lang.Class 类的对象,这个对象将作为程序访问方法区中的类型数据的外部接口
- 加载阶段与连接阶段的部分动作(如一部分字节码文件格式验证动作)是交叉进行的,加载阶段尚未完成,连接阶段可能已经开始,但这些夹在加载阶段之中进行的动作,仍然属于连接阶段的一部分,这两个阶段的开始时间仍然保持着固定的先后顺序
二、验证(Verification)
- 验证阶段的目的是确保 Class 文件的字节流中包含的信息符合《Java 虚拟机规范》的全部约束要求,保证这些信息被当作代码运行后不会危害虚拟机自身的安全
- Java 语言本身是相对安全的编程语言,使用纯粹的 Java 代码无法做到诸如访问数组边界以外的数据、将一个对象转型为它并未实现的类型、跳转到不存在的代码行之类的事情,因为编译器会抛出异常、拒绝编译。但 Class 文件并不一定只能由 Java 源码编译而来,因此上述 Java 代码无法做到的事情在字节码层面上都是可以实现的,至少语义上是可以表达出来的
- 验证阶段是否严谨,直接决定了 Java 虚拟机是否能承受恶意代码的攻击。从代码量和耗费的执行性能的角度上讲,验证阶段的工作量在类加载过程中占了相当大的比重
- 《Java 虚拟机规范》的早期版本(第 1、2 版)对验证阶段的检验指导非常模糊和笼统,仅列举了一些对 Class 文件格式的静态和结构化的约束,但具体应当检查哪些内容、如何检查、何时进行检查等,都没有足够明确的说明。直到 2011 年《Java 虚拟机规范(JavaSE 7版)》中,大幅增加了验证过程的描述,这时验证阶段的约束和验证规则才变得具体起来
- 验证阶段非常重要、但不是必须要执行,因为验证阶段只有通过或者不通过的差别,只要通过了验证,其后就对程序运行期没有任何影响了。如果程序运行的全部代码(包括自己编写的、第三方包中的、从外部加载的、动态生成的等所有代码)都已经被反复使用和验证过,在生产环境的实施阶段就可以考虑使用
-Xverify:none参数来关闭大部分的类验证措施,以缩短虚拟机类加载的时间
- 验证阶段主要包括以下四个方面的检验动作:
1. 文件格式验证
- 验证字节流是否符合 Class 文件格式的规范,并且能被当前版本的虚拟机处理。包括以下验证点:
- 是否以魔数 0xCAFEBABE 开头
- 主、次版本号是否在当前 Java 虚拟机接受范围之内
- 常量池的常量中是否有不被支持的常量类型(检查常量 tag 标志)
- 指向常量的各种索引值中是否有指向不存在的常量或不符合类型的常量
- CONSTANT_Utf8_info 型的常量中是否有不符合 UTF-8 编码的数据
- Class 文件中各个部分及文件本身是否有被删除的或附加的其他信息
- ……
- 该验证阶段的主要目的是保证输入的字节流能正确地解析并存储于方法区之内,格式上符合描述一个 Java 类型信息的要求。只有通过了这个阶段的验证,这段字节流才被允许存储到 Java 虚拟机内存的方法区中,所以后面的三个验证阶段全部是基于方法区上的存储结构进行的,不会再直接读取、操作字节流了
2. 元数据验证
- 对字节码描述的类的元数据信息进行语义分析,以保证其符合《Java 语言规范》的要求。包括以下验证点:
- 这个类是否有父类(除了 java.lang.Object 外,所有的类都应当有父类)
- 这个类的父类是否继承了不允许被继承的类(被 final 修饰的类)
- 如果这个类不是抽象类,是否实现了其父类或接口之中要求实现的所有方法
- 类中的字段、方法是否与父类产生矛盾(例如覆盖了父类的 final 字段,或者出现不符合规则的方法重载)
- ……
3. 字节码验证
- 最复杂的阶段,通过数据流分析和控制流分析,校验类的方法体,确定程序语义是合法的、符合逻辑的。包括以下验证点:
- 保证任意时刻操作数栈的数据类型与指令代码序列都能配合工作,例如不会出现类似于“在操作栈放置了一个 int 类型的数据,使用时却按 long 类型来载入本地变量表中”这样的情况
- 保证任何跳转指令都不会跳转到方法体以外的字节码指令上
- 保证方法体中的类型转换总是有效的,例如可以把一个子类对象赋值给父类数据类型,但是不能把父类对象赋值给子类数据类型,甚至把对象赋值给与它毫无继承关系、完全不相干的一个数据类型
- ……
- 即使通过了字节码验证,也不能保证它一定就是安全的。比如停机问题:不能通过程序准确地检查出程序是否能在有限的时间之内结束运行
- 由于数据流分析和控制流分析的高度复杂性,Java 虚拟机的设计团队为了避免过多的执行时间消耗在字节码验证阶段中,在 JDK6 之后的 Javac 编译器和 Java 虚拟机里进行了一项联合优化,把尽可能多的校验辅助措施挪到 Javac 编译器里进行
- 具体做法是给方法体 Code 属性的属性表中新增加了一项名为 StackMapTable 的新属性,该属性描述了方法体所有的基本块(BasicBlock,指按照控制流拆分的代码块)开始时本地变量表和操作栈应有的状态,在字节码验证期间,Java 虚拟机就不需要根据程序推导这些状态的合法性,只需要检查 StackMapTable 属性中的记录是否合法即可。这样就将字节码验证的类型推导转变为类型检查,从而节省了大量校验时间(理论上 StackMapTable 属性也存在错误或被篡改的可能)
- JDK6 的 HotSpot 虚拟机中提供了
-XX:-UseSplitVerifier选项来关闭掉这项优化,或者使用参数-XX:+FailOverToOldVerifier要求在类型校验失败的时候退回到旧的类型推导方式进行校验。JDK7 之后,尽管虚拟机中仍然保留着类型推导验证器的代码,但是对于主版本号大于 50(对应 JDK6)的 Class 文件,使用类型检查来完成数据流分析校验则是唯一的选择,不允许再退回到原来的类型推导的校验方式
4. 符号引用验证
- 发生在解析阶段中将符号引用转化为直接引用的时候,确保解析行为能正常执行。可以看作是对类自身以外(常量池中的各种符号引用)的各类信息进行匹配性校验。包括以下验证点:
- 符号引用中通过字符串描述的全限定名是否能找到对应的类
- 在指定类中是否存在符合方法的字段描述符及简单名称所描述的方法和字段
- 符号引用中的类、字段、方法是否可被当前类访问
- ……
- 如果无法通过符号引用验证,Java 虚拟机将会抛出一个 java.lang.IncompatibleClassChangeError 的子类异常,典型的如 java.lang.IllegalAccessError、java.lang.NoSuchFieldError、java.lang.NoSuchMethodError 等
三、准备(Preparation)
- 为类中定义的被 static 修饰的静态变量分配内存并设置初始值,注意点:
- 这里只处理类变量,实例变量将会在对象实例化时随着对象一起分配在 Java 堆中
- 这里只赋值初始值(通常为数据类型的零值),因为尚未开始执行任何 Java 方法。赋值的 putstatic 指令会在程序被编译后,存放于类构造器
<clinit>()方法中,要到类的初始化阶段才会被执行 - 如果再被 final 修饰,编译时 Javac 会为该字段生成 ConstantValue 属性,在准备阶段该字段值会被直接初始化为该属性值
| 数据类型 | 零值 |
|---|---|
| int | 0 |
| long | 0L |
| short | (short) 0 |
| char | ‘\u0000’ |
| byte | (byte) 0 |
| boolean | false |
| float | 0.0f |
| double | 0.0d |
| reference | null |
- 从概念上讲,类变量所使用的内存都应当在方法区中进行分配。但必须注意到方法区本身是一个逻辑上的区域,在 JDK7 及之前,HotSpot 使用永久代来实现方法区时,实现是完全符合这种逻辑概念的;而 JDK8 及之后,类变量则会随着 Class 对象一起存放在 Java 堆中,这时候“类变量在方法区”就完全是一种对逻辑概念的表述了
四、解析(Resolution)
- 解析阶段是 Java 虚拟机将常量池内的符号引用替换为直接引用的过程
- 符号引用(Symbolic References):以一组符号来描述所引用的目标,符号可以是任何形式的字面量,只要使用时能无歧义地定位到目标即可。符号引用与虚拟机实现的内存布局无关,引用的目标并不一定是已经加载到虚拟机内存中的内容。各种虚拟机实现的内存布局可以各不相同,但是它们能接受的符号引用必须是一致的,因为符号引用的字面量形式明确定义在《Java 虚拟机规范》的 Class 文件格式中
- 直接引用(Direct References):是可以直接指向目标的指针、相对偏移量或者是一个能间接定位到目标的句柄。直接引用是和虚拟机实现的内存布局直接相关的,同一个符号引用在不同虚拟机实例上翻译出来的直接引用一般不会相同。如果有了直接引用,那引用的目标必定已经在虚拟机的内存中存在
- 《Java 虚拟机规范》中并未规定解析阶段发生的具体时间,只要求了在执行 anewarray、checkcast、getfield、getstatic、instanceof、invokedynamic、invokeinterface、invokespecial、invokestatic、invokevirtual、ldc、ldc_w、ldc2_w、multianewarray、new、putfield 和 putstatic 这 17 个用于操作符号引用的字节码指令之前,先对它们所使用的符号引用进行解析。所以虚拟机实现既可以在类被加载器加载时就对常量池中的符号引用进行解析,也可以等到一个符号引用将要被使用前才去解析。类似地,对方法或者字段的访问,也会在解析阶段中对它们的可访问性进行检查
- 对同一个符号引用进行多次解析是很常见的,除 invokedynamic 指令外,虚拟机实现可以对第一次解析的结果进行缓存,譬如在运行时直接引用常量池中的记录,并把常量标识为已解析状态,从而避免解析动作重复进行。无论是否真正执行了多次解析动作,Java 虚拟机都需要保证的是在同一个实体中,如果一个符号引用之前已经被成功解析过,那么后续的引用解析请求就应当一直能够成功;同样地,如果第一次解析失败了,其他指令对这个符号的解析请求也应该收到相同的异常,哪怕这个请求的符号在后来已成功加载进 Java 虚拟机内存之中
- 不过对于 invokedynamic 指令,上面的规则就不成立了。当碰到某个前面已经由 invokedynamic 指令触发过解析的符号引用时,并不意味着这个解析结果对于其他 invokedynamic 指令也同样生效。因为 invokedynamic 指令的目的本来就是用于动态语言支持,它对应的引用称为“动态调用点限定符”(Dynamically-Computed Call Site Specifier),这里“动态”的含义是指必须等到程序实际运行到这条指令时,解析动作才能进行。相对地,其余可触发解析的指令都是“静态”的,可以在刚刚完成加载阶段,还没有开始执行代码时就提前进行解析
- 解析动作主要针对类或接口、字段、类方法、接口方法、方法类型、方法句柄和调用点限定符这 7 类符号引用进行,分别对应于常量池的 CONSTANT_Class_info、CONSTANT_Fieldref_info、CONSTANT_Methodref_info、CONSTANT_InterfaceMethodref_info、CONSTANT_MethodType_info、CONSTANT_MethodHandle_info、CONSTANT_Dynamic_info 和 CONSTANT_InvokeDynamic_info 8 种常量类型。其中后 4 种都和动态语言支持密切相关,下面将介绍前 4 种引用的解析过程
1. 类或接口的解析
- 假设当前代码所处的类为 D,如果要把一个从未解析过的符号引用 N 解析为一个类或接口 C 的直接引用,那虚拟机完成整个解析过程需要包括以下 3 个步骤:
- 如果 C 不是数组类型,那虚拟机将会把代表 N 的全限定名传递给 D 的类加载器去加载这个类 C。在加载过程中,由于元数据验证、字节码验证的需要,又可能触发其他相关类的加载动作,例如加载这个类的父类或实现的接口。一旦加载过程出现了任何异常,解析过程就将宣告失败
- 如果 C 是一个数组类型,并且数组的元素类型为对象,那将会按照第一点的规则加载数组元素类型,接着由虚拟机生成一个代表该数组维度和元素的数组对象
- 如果上面两步没有出现任何异常,那么 C 在虚拟机中实际上已经成为一个有效的类或接口了,但在解析完成前还要进行符号引用验证,确认 D 是否具备对 C 的访问权限。如果发现不具备访问权限,将抛出 java.lang.IllegalAccessError 异常
- 对于访问权限验证,在 JDK 9 引入了模块化以后,public 类型也不再意味着程序中任何位置都有它的访问权限,还必须检查模块间的访问权限。比如 D 拥有 C 的访问权限,就意味着以下 3 条规则中至少有一条成立:
- 被访问类 C 是 public 的,并且与访问类 D 处于同一个模块
- 被访问类 C 是 public 的,不与访问类 D 处于同一个模块,但是 C 的模块允许被 D 的模块访问
- 被访问类 C 不是 public 的,但是它与访问类 D 处于同一个包中
2. 字段解析
- 要解析一个未被解析过的字段符号引用,首先将会对字段表内 class_index 项中索引的 CONSTANT_Class_info 符号引用进行解析,也就是字段所属的类或接口的符号引用。如果在解析这个类或接口符号引用的过程中出现了任何异常,都会导致字段符号引用解析失败。如果解析成功,那把这个字段所属的类或接口用 C 表示,《Java 虚拟机规范》要求按照如下步骤对 C 进行后续字段的搜索:
- 如果 C 本身就包含了简单名称和字段描述符都与目标相匹配的字段,则返回这个字段的直接引用,查找结束
- 否则,如果在 C 中实现了接口,将会按照继承关系从下往上递归搜索各个接口和它的父接口,如果接口中包含了简单名称和字段描述符都与目标相匹配的字段,则返回这个字段的直接引用,查找结束
- 否则,如果 C 不是 java.lang.Object 的话,将会按照继承关系从下往上递归搜索其父类,如果在父类中包含了简单名称和字段描述符都与目标相匹配的字段,则返回这个字段的直接引用,查找结束
- 否则,查找失败,抛出 java.lang.NoSuchFieldError 异常
- 如果查找过程成功返回了引用,将会对这个字段进行权限验证,如果发现不具备对字段的访问权限,将抛出 java.lang.IllegalAccessError 异常
- 以上解析规则能够确保 Java 虚拟机获得字段唯一的解析结果,但不同发行商实现的 Javac 编译器有可能会按照更严格的约束拒绝编译这种代码来避免不确定性,比如有一个同名字段同时出现在某个类的接口和父类中:
1 | public class FieldResolution { |
3. 方法解析
- 方法解析的第一个步骤与字段解析一样,也是需要先解析出方法表的 class_index 项中索引的方法所属的类或接口的符号引用,如果解析成功,那么用 C 表示这个类,接下来虚拟机将按照如下步骤进行后续的方法搜索:
- 由于 Class 文件格式中类的方法和接口的方法符号引用的常量类型定义是分开的,如果在类的方法表中发现 class_index 中索引的 C 是个接口,就直接抛出 java.lang.IncompatibleClassChangeError 异常
- 否则,在类 C 中查找是否有简单名称和描述符都与目标相匹配的方法,如果有则返回这个方法的直接引用,查找结束
- 否则,在类 C 的父类中递归查找是否有简单名称和描述符都与目标相匹配的方法,如果有则返回这个方法的直接引用,查找结束
- 否则,在类 C 实现的接口列表及它们的父接口之中递归查找是否有简单名称和描述符都与目标相匹配的方法,如果存在匹配的方法,说明类 C 是一个抽象类,这时候查找结束,抛出 java.lang.AbstractMethodError 异常
- 否则,宣告方法查找失败,抛出 java.lang.NoSuchMethodError 异常
- 最后,如果查找过程成功返回了直接引用,将会对这个方法进行权限验证,如果发现不具备对此方法的访问权限,将抛出 java.lang.IllegalAccessError 异常
4. 接口方法解析
- 接口方法也需要先解析出接口方法表的 class_index 项中索引的方法所属的类或接口的符号引用,如果解析成功,依然用 C 表示这个接口,接下来虚拟机将会按照如下步骤进行后续的接口方法搜索:
- 如果在接口方法表中发现 class_index 中的索引 C 是个类而不是接口,就直接抛出 java.lang.IncompatibleClassChangeError 异常
- 否则,在接口 C 中查找是否有简单名称和描述符都与目标相匹配的方法,如果有则返回这个方法的直接引用,查找结束
- 否则,在接口 C 的父接口中递归查找,直到 java.lang.Object 类(接口方法的查找范围也会包括 Object 类中的方法),看是否有简单名称和描述符都与目标相匹配的方法,如果有则返回这个方法的直接引用,查找结束
- 由于 Java 的接口允许多重继承,如果 C 的不同父接口中存有多个简单名称和描述符都与目标相匹配的方法,那将会从这多个方法中返回其中一个并结束查找,《Java 虚拟机规范》中并没有进一步约束应该返回哪一个接口方法。但与字段查找类似,不同发行商实现的 Javac 编译器有可能会按照更严格的约束拒绝编译这种代码来避免不确定性
- 否则,宣告方法查找失败,抛出 java.lang.NoSuchMethodError 异常
- 在 JDK 9 之前,Java 接口中的所有方法都默认是 public 的,也没有模块化的访问约束,所以接口方法的符号解析就不可能抛出 java.lang.IllegalAccessError 异常。但在 JDK 9 中增加了接口的静态私有方法,也有了模块化的访问约束,此时接口方法的访问就可能因访问权限控制而出现 java.lang.IllegalAccessError 异常
五、初始化(Initialization)
- 在类加载动作中,除了在加载阶段用户应用程序可以通过自定义类加载器的方式局部参与外,其余动作都完全由 Java 虚拟机来主导控制。直到初始化阶段,Java 虚拟机才真正开始执行类中编写的 Java 程序代码,将主导权移交给应用程序。在准备阶段,变量已经赋过一次初始零值,而在初始化阶段,则会根据程序代码去初始化类变量和其他资源。其实初始化阶段就是执行类构造器
<clinit>()方法的过程 <clinit>()并不是在 Java 代码中直接编写的方法,它是 Javac 编译器的自动生成物,由编译器自动收集类中的所有类变量的赋值动作和静态代码块中的语句合并产生的。编译器收集的顺序是由语句在源文件中出现的顺序决定的,静态代码块中只能访问定义在它之前的变量,定义在它之后的变量只能对其赋值,但是不能访问:
1 | public class Test { |
<clinit>()方法与类的构造函数<init>()方法不同,它不需要显式调用父类构造器,Java 虚拟机会保证在子类的<clinit>()方法执行前,父类的<clinit>()方法已经执行完毕,因此在 Java 虚拟机中第一个被执行的<clinit>()方法的类型肯定是 java.lang.Object。这也就意味着父类中定义的静态代码块要优先于子类的变量赋值操作:
1 | public class Test { |
<clinit>()方法对于类或接口来说并不是必需的。如果一个类中没有静态代码块,也没有对类变量的赋值操作,那么编译器可以不为这个类生成<clinit>()方法- 接口中不能使用静态代码块,但仍然有变量初始化的赋值操作,因此接口与类一样都会生成
<clinit>()方法。但执行接口的<clinit>()方法不需要先执行父接口的<clinit>()方法,因为只有当父接口中定义的变量被使用时,父接口才会被初始化。此外,接口的实现类在初始化时一样不会执行接口的<clinit>()方法 - Java 虚拟机必须保证一个类的
<clinit>()方法在多线程环境中被正确地加锁同步,如果多个线程同时去初始化一个类,那么只会有其中一个线程去执行这个类的<clinit>()方法,其他线程都需要阻塞等待,但不会再进入<clinit>()方法(同一个类加载器下,一个类型只会被初始化一次)。如果在一个类的<clinit>()方法中有耗时很长的操作,那就可能造成多个线程阻塞:
1 | public class Test { |
参考
- 《深入理解 Java 虚拟机》