sun.misc.Unsafe 详解

原文地址译者：许巧辉校对：梁海舰

Java是一门安全的编程语言，防止程序员犯很多愚蠢的错误，它们大部分是基于内存管理的。但是，有一种方式可以有意的执行一些不安全、容易犯错的操作，那就是使用Unsafe类。

本文是sun.misc.Unsafe公共API的简要概述，及其一些有趣的用法。

Unsafe 实例

在使用Unsafe之前，我们需要创建Unsafe对象的实例。这并不像Unsafe unsafe = new Unsafe()这么简单，因为Unsafe的构造器是私有的。它也有一个静态的getUnsafe()方法，但如果你直接调用Unsafe.getUnsafe()，你可能会得到SecurityException异常。只能从受信任的代码中使用这个方法。

1
public static Unsafe getUnsafe() {

2
    Class cc = sun.reflect.Reflection.getCallerClass(2);

3
    if (cc.getClassLoader() != null)

4
        throw new SecurityException("Unsafe");

5
    return theUnsafe;

6
}

这就是Java如何验证代码是否可信。它只检查我们的代码是否由主要的类加载器加载。

我们可以令我们的代码“受信任”。运行程序时，使用bootclasspath 选项，指定系统类路径加上你使用的一个Unsafe路径。

1
java -Xbootclasspath:/usr/jdk1.7.0/jre/lib/rt.jar:. com.mishadoff.magic.UnsafeClient

但这太难了。

Unsafe类包含一个私有的、名为theUnsafe的实例，我们可以通过Java反射窃取该变量。

1
Field f = Unsafe.class.getDeclaredField("theUnsafe");

2
f.setAccessible(true);

3
Unsafe unsafe = (Unsafe) f.get(null);

注意：忽略你的IDE。比如：eclipse显示”Access restriction…”错误，但如果你运行代码，它将正常运行。如果这个错误提示令人烦恼，可以通过以下设置来避免：

1
Preferences -> Java -> Compiler -> Errors/Warnings ->

2
Deprecated and restricted API -> Forbidden reference -> Warning

Unsafe API

sun.misc.Unsafe类包含105个方法。实际上，对各种实体操作有几组重要方法，其中的一些如下：

Info.仅返回一些低级的内存信息

addressSize
pageSize

Objects.提供用于操作对象及其字段的方法

allocateInstance
objectFieldOffset

Classes.提供用于操作类及其静态字段的方法

staticFieldOffset
defineClass
defineAnonymousClass
ensureClassInitialized

Arrays.操作数组

arrayBaseOffset
arrayIndexScale

Synchronization.低级的同步原语

monitorEnter
tryMonitorEnter
monitorExit
compareAndSwapInt
putOrderedInt

Memory.直接内存访问方法

allocateMemory
copyMemory
freeMemory
getAddress
getInt
putInt

有趣的用例

避免初始化

当你想要跳过对象初始化阶段，或绕过构造器的安全检查，或实例化一个没有任何公共构造器的类，allocateInstance方法是非常有用的。考虑以下类：

1
class A {

2
    private long a; // not initialized value

3
 
4
    public A() {

5
        this.a = 1; // initialization

6
    }

7
 
8
    public long a() { return this.a; }

9
}

使用构造器、反射和unsafe初始化它，将得到不同的结果。

1
A o1 = new A(); // constructor

2
o1.a(); // prints 1

3
 
4
A o2 = A.class.newInstance(); // reflection

5
o2.a(); // prints 1

6
 
7
A o3 = (A) unsafe.allocateInstance(A.class); // unsafe

8
o3.a(); // prints 0

想想所有单例发生了什么。

内存崩溃（Memory corruption）

这对于每个C程序员来说是常见的。顺便说一下，它是绕过安全的常用技术。

考虑下那些用于检查“访问规则”的简单类：

1
class Guard {

2
       private int ACCESS_ALLOWED = 1;

3
 
4
       public boolean giveAccess() {

5
              return 42 == ACCESS_ALLOWED;

6
       }

7
}

客户端代码是非常安全的，并且通过调用giveAccess()来检查访问规则。可惜，对于客户，它总是返回false。只有特权用户可以以某种方式改变ACCESS_ALLOWED常量的值并且得到访问（giveAccess()方法返回true，译者注）。

实际上，这并不是真的。演示代码如下：

1
Guard guard = new Guard();

2
guard.giveAccess();   // false, no access

3
 
4
// bypass

5
Unsafe unsafe = getUnsafe();

6
Field f = guard.getClass().getDeclaredField("ACCESS_ALLOWED");

7
unsafe.putInt(guard, unsafe.objectFieldOffset(f), 42); // memory corruption

8
 
9
guard.giveAccess(); // true, access granted

现在所有的客户都拥有无限制的访问权限。

实际上，反射可以实现相同的功能。但值得关注的是，我们可以修改任何对象，甚至没有这些对象的引用。

例如，有一个guard对象，所在内存中的位置紧接着在当前guard对象之后。我们可以用以下代码来修改它的ACCESS_ALLOWED字段：

1
unsafe.putInt(guard, 16 + unsafe.objectFieldOffset(f), 42); // memory corruption

注意：我们不必持有这个对象的引用。16是Guard对象在32位架构上的大小。我们可以手工计算它，或者通过使用sizeOf方法（它的定义，如下节）。

sizeOf

使用objectFieldOffset方法可以实现C-风格（C-style）的sizeof方法。这个实现返回对象的自身内存大小（译者注：shallow size）。

01
public static long sizeOf(Object o) {

02
    Unsafe u = getUnsafe();

03
    HashSet<Field> fields = new HashSet<Field>();

04
    Class c = o.getClass();

05
    while (c != Object.class) {

06
        for (Field f : c.getDeclaredFields()) {

07
            if ((f.getModifiers() & Modifier.STATIC) == 0) {

08
                fields.add(f);

09
            }

10
        }

11
        c = c.getSuperclass();

12
    }

13
 
14
    // get offset

15
    long maxSize = 0;

16
    for (Field f : fields) {

17
        long offset = u.objectFieldOffset(f);

18
        if (offset > maxSize) {

19
            maxSize = offset;

20
        }

21
    }

22
 
23
    return ((maxSize/8) + 1) * 8;   // padding

24
}

算法如下：通过所有非静态字段（包含父类的），获取每个字段的偏移量（offset），找到偏移最大值并填充字节数(padding)。我可能错过一些东西，但思路是明确的。

如果我们仅读取对象的类结构大小值，sizeOf的实现可以更简单，这位于JVM 1.7 32 bit中的偏移量12。

1
public static long sizeOf(Object object){

2
    return getUnsafe().getAddress(

3
        normalize(getUnsafe().getInt(object, 4L)) + 12L);

4
}

normalize是一个为了正确内存地址使用，将有符号的int类型强制转换成无符号的long类型的方法。

1
private static long normalize(int value) {

2
    if(value >= 0) return value;

3
    return (~0L >>> 32) & value;

4
}

真棒，这个方法返回的结果与我们之前的sizeof方法一样。

实际上，对于良好、安全、准确的sizeof方法，最好使用 java.lang.instrument包，但这需要在JVM中指定agent选项。

浅拷贝（Shallow copy）

为了实现计算对象自身内存大小，我们可以简单地添加拷贝对象方法。标准的解决方案是使用Cloneable修改你的代码，或者在你的对象中实现自定义的拷贝方法，但它不会是多用途的方法。

浅拷贝：

1
static Object shallowCopy(Object obj) {

2
    long size = sizeOf(obj);

3
    long start = toAddress(obj);

4
    long address = getUnsafe().allocateMemory(size);

5
    getUnsafe().copyMemory(start, address, size);

6
    return fromAddress(address);

7
}

toAddress和fromAddress将对象转换为其在内存中的地址，反之亦然。

01
static long toAddress(Object obj) {

02
    Object[] array = new Object[] {obj};

03
    long baseOffset = getUnsafe().arrayBaseOffset(Object[].class);

04
    return normalize(getUnsafe().getInt(array, baseOffset));

05
}

06
 
07
static Object fromAddress(long address) {

08
    Object[] array = new Object[] {null};

09
    long baseOffset = getUnsafe().arrayBaseOffset(Object[].class);

10
    getUnsafe().putLong(array, baseOffset, address);

11
    return array[0];

12
}

这个拷贝方法可以用来拷贝任何类型的对象，动态计算它的大小。注意，在拷贝后，你需要将对象转换成特定的类型。

隐藏密码（Hide Password）

在Unsafe中，一个更有趣的直接内存访问的用法是，从内存中删除不必要的对象。

检索用户密码的大多数API的签名为byte[]或char[]，为什么是数组呢？

这完全是出于安全的考虑，因为我们可以删除不需要的数组元素。如果将用户密码检索成字符串，这可以像一个对象一样在内存中保存，而删除该对象只需执行解除引用的操作。但是，这个对象仍然在内存中，由GC决定的时间来执行清除。

创建具有相同大小、假的String对象，来取代在内存中原来的String对象的技巧：

01
String password = new String("l00k@myHor$e");

02
String fake = new String(password.replaceAll(".", "?"));

03
System.out.println(password); // l00k@myHor$e

04
System.out.println(fake); // ????????????

05
 
06
getUnsafe().copyMemory(

07
          fake, 0L, null, toAddress(password), sizeOf(password));

08
 
09
System.out.println(password); // ????????????

10
System.out.println(fake); // ????????????

感觉很安全。

修改：这并不安全。为了真正的安全，我们需要通过反射删除后台char数组：

1
Field stringValue = String.class.getDeclaredField("value");

2
stringValue.setAccessible(true);

3
char[] mem = (char[]) stringValue.get(password);

4
for (int i=0; i < mem.length; i++) {

5
  mem[i] = '?';

6
}

感谢Peter Verhas指定出这一点。

多继承（Multiple Inheritance）

Java中没有多继承。

这是对的，除非我们可以将任意类型转换成我们想要的其他类型。

1
long intClassAddress = normalize(getUnsafe().getInt(new Integer(0), 4L));

2
long strClassAddress = normalize(getUnsafe().getInt("", 4L));

3
getUnsafe().putAddress(intClassAddress + 36, strClassAddress);

这个代码片段将String类型添加到Integer超类中，因此我们可以强制转换，且没有运行时异常。

1
(String) (Object) (new Integer(666))

有一个问题，我们必须预先强制转换对象，以欺骗编译器。

动态类（Dynamic classes）

我们可以在运行时创建一个类，比如从已编译的.class文件中。将类内容读取为字节数组，并正确地传递给defineClass方法。

1
byte[] classContents = getClassContent();

2
Class c = getUnsafe().defineClass(

3
              null, classContents, 0, classContents.length);

4
    c.getMethod("a").invoke(c.newInstance(), null); // 1

从定义文件（class文件）中读取（代码）如下：

1
private static byte[] getClassContent() throws Exception {

2
    File f = new File("/home/mishadoff/tmp/A.class");

3
    FileInputStream input = new FileInputStream(f);

4
    byte[] content = new byte[(int)f.length()];

5
    input.read(content);

6
    input.close();

7
    return content;

8
}

当你必须动态创建类，而现有代码中有一些代理，这是很有用的。

抛出异常（Throw an Exception）

不喜欢受检异常？没问题。

1
getUnsafe().throwException(new IOException());

该方法抛出受检异常，但你的代码不必捕捉或重新抛出它，正如运行时异常一样。

快速序列化（Fast Serialization）

这更有实用性。

大家都知道，标准Java的Serializable的序列化能力是非常慢的。它同时要求类必须有一个公共的、无参数的构造器。

Externalizable比较好，但它需要定义类序列化的模式。

流行的高性能库，比如kryo具有依赖性，这对于低内存要求来说是不可接受的。

unsafe类可以很容易实现完整的序列化周期。

序列化：

使用反射构建模式对象，类只可做一次。
使用Unsafe方法，如getLong、getInt、getObject等来检索实际字段值。
添加类标识，以便有能力恢复该对象
将它们写入文件或任意输出

你也可以添加压缩（步骤）以节省空间。

反序列化：

创建已序列化对象实例，使用allocateInstance协助（即可），因为不需要任何构造器。
构建模式，与序列化的步骤1相同。
从文件或任意输入中读取所有字段。
使用Unsafe方法，如putLong、putInt、putObject等来填充该对象。

实际上，在正确的实现过程中还有更多的细节，但思路是明确的。

这个序列化将非常快。

顺便说一下，在kryo中有使用Unsafe的一些尝试http://code.google.com/p/kryo/issues/detail?id=75

大数组（Big Arrays）

正如你所知，Java数组大小的最大值为Integer.MAX_VALUE。使用直接内存分配，我们创建的数组大小受限于堆大小。

SuperArray的实现：

01
class SuperArray {

02
    private final static int BYTE = 1;

03
 
04
    private long size;

05
    private long address;

06
 
07
    public SuperArray(long size) {

08
        this.size = size;

09
        address = getUnsafe().allocateMemory(size * BYTE);

10
    }

11
 
12
    public void set(long i, byte value) {

13
        getUnsafe().putByte(address + i * BYTE, value);

14
    }

15
 
16
    public int get(long idx) {

17
        return getUnsafe().getByte(address + idx * BYTE);

18
    }

19
 
20
    public long size() {

21
        return size;

22
    }

23
}

简单用法：

1
long SUPER_SIZE = (long)Integer.MAX_VALUE * 2;

2
SuperArray array = new SuperArray(SUPER_SIZE);

3
System.out.println("Array size:" + array.size()); // 4294967294

4
for (int i = 0; i < 100; i++) {

5
    array.set((long)Integer.MAX_VALUE + i, (byte)3);

6
    sum += array.get((long)Integer.MAX_VALUE + i);

7
}

8
System.out.println("Sum of 100 elements:" + sum);  // 300

实际上，这是堆外内存（off-heap memory）技术，在java.nio包中部分可用。

这种方式的内存分配不在堆上，且不受GC管理，所以必须小心Unsafe.freeMemory()的使用。它也不执行任何边界检查，所以任何非法访问可能会导致JVM崩溃。

这可用于数学计算，代码可操作大数组的数据。此外，这可引起实时程序员的兴趣，可打破GC在大数组上延迟的限制。

并发（Concurrency）

几句关于Unsafe的并发性。compareAndSwap方法是原子的，并且可用来实现高性能的、无锁的数据结构。

比如，考虑问题：在使用大量线程的共享对象上增长值。

首先，我们定义简单的Counter接口：

1
interface Counter {

2
    void increment();

3
    long getCounter();

4
}

然后，我们定义使用Counter的工作线程CounterClient：

01
class CounterClient implements Runnable {

02
    private Counter c;

03
    private int num;

04
 
05
    public CounterClient(Counter c, int num) {

06
        this.c = c;

07
        this.num = num;

08
    }

09
 
10
    @Override

11
    public void run() {

12
        for (int i = 0; i < num; i++) {

13
            c.increment();

14
        }

15
    }

16
}

测试代码：

01
int NUM_OF_THREADS = 1000;

02
int NUM_OF_INCREMENTS = 100000;

03
ExecutorService service = Executors.newFixedThreadPool(NUM_OF_THREADS);

04
Counter counter = ... // creating instance of specific counter

05
long before = System.currentTimeMillis();

06
for (int i = 0; i < NUM_OF_THREADS; i++) {

07
    service.submit(new CounterClient(counter, NUM_OF_INCREMENTS));

08
}

09
service.shutdown();

10
service.awaitTermination(1, TimeUnit.MINUTES);

11
long after = System.currentTimeMillis();

12
System.out.println("Counter result: " + c.getCounter());

13
System.out.println("Time passed in ms:" + (after - before));

第一个无锁版本的计数器：

01
class StupidCounter implements Counter {

02
    private long counter = 0;

03
 
04
    @Override

05
    public void increment() {

06
        counter++;

07
    }

08
 
09
    @Override

10
    public long getCounter() {

11
        return counter;

12
    }

13
}

输出：

1
Counter result: 99542945

2
Time passed in ms: 679

运行快，但没有线程管理，结果是不准确的。第二次尝试，添加上最简单的java式同步：

01
class SyncCounter implements Counter {

02
    private long counter = 0;

03
 
04
    @Override

05
    public synchronized void increment() {

06
        counter++;

07
    }

08
 
09
    @Override

10
    public long getCounter() {

11
        return counter;

12
    }

13
}

输出：

1
Counter result: 100000000

2
Time passed in ms: 10136

激进的同步有效，但耗时长。试试ReentrantReadWriteLock：

01
class LockCounter implements Counter {

02
    private long counter = 0;

03
    private WriteLock lock = new ReentrantReadWriteLock().writeLock();

04
 
05
    @Override

06
    public void increment() {

07
        lock.lock();

08
        counter++;

09
        lock.unlock();

10
    }

11
 
12
    @Override

13
    public long getCounter() {

14
        return counter;

15
    }

16
}

输出：

1
Counter result: 100000000

2
Time passed in ms: 8065

仍然正确，耗时较短。atomics的运行效果如何？

01
class AtomicCounter implements Counter {

02
    AtomicLong counter = new AtomicLong(0);

03
 
04
    @Override

05
    public void increment() {

06
        counter.incrementAndGet();

07
    }

08
 
09
    @Override

10
    public long getCounter() {

11
        return counter.get();

12
    }

13
}

输出：

1
Counter result: 100000000

2
Time passed in ms: 6552

AtomicCounter的运行结果更好。最后，试试Unsafe原始的compareAndSwapLong，看看它是否真的只有特权才能使用它？

01
class CASCounter implements Counter {

02
    private volatile long counter = 0;

03
    private Unsafe unsafe;

04
    private long offset;

05
 
06
    public CASCounter() throws Exception {

07
        unsafe = getUnsafe();

08
        offset = unsafe.objectFieldOffset(CASCounter.class.getDeclaredField("counter"));

09
    }

10
 
11
    @Override

12
    public void increment() {

13
        long before = counter;

14
        while (!unsafe.compareAndSwapLong(this, offset, before, before + 1)) {

15
            before = counter;

16
        }

17
    }

18
 
19
    @Override

20
    public long getCounter() {

21
        return counter;

22
    }

23
}

输出：

1
Counter result: 100000000

2
Time passed in ms: 6454

看起来似乎等价于atomics。atomics使用Unsafe？（是的）

实际上，这个例子很简单，但它展示了Unsafe的一些能力。

如我所说，CAS原语可以用来实现无锁的数据结构。背后的原理很简单：

有一些状态
创建它的副本
修改它
执行CAS
如果失败，重复尝试

实际上，现实中比你现象的更难。存在着许多问题，如ABA问题、指令重排序等。

如果你真的感兴趣，可以参考lock-free HashMap的精彩展示。

修改：给counter变量添加volatile关键字，以避免无限循环的风险。

结论（Conclusion）

即使Unsafe对应用程序很有用，但（建议）不要使用它。