可以通过Systerm.setSecurityManage的方法声明进去。也可以通过运行时参数-Djava.security.manager=×××××××来指定。
系统提供默认的SecurityManager实现,如果加载默认的SecurityManage,那么它会去加载默认的\jre\lib\security\java.policy这个策略文件来定制ProtectionDomain。策略文件可以通过-Djava.security.policy=或是-Djava.security.policy==来指定位置,其中=表示这个策略文件将和默认的策略文件一同发挥作用;==表示只使用这个策略文件。
java2以后的SecurityManager基本都是调用checkPermission这个方法干活的。执行check动作的是AccessController,它会调用本地方法获取当前线程的AccessControlContext,然后调用AccessControlContext的checkPermmision方法来判断是否有权限执行。