历史追溯到Java 9引入的java.lang.ref.Cleaner,作为过时的**Object.finalize()方法的替代,该方法因不可预测的执行时机、性能惩罚和安全漏洞(包括复活攻击)而受到诟病。核心问题在于finalize()**允许被重写的方法将引用this存储回活跃对象图中,从而“复活”被垃圾收集器视为不可达的对象,违反了单一构造单一销毁的不变性,并可能使本地资源处于不一致状态。
解决方案利用了Cleaner实现中的PhantomReference语义:清理操作仅接收Runnable或清理操作对象,而不是引用本身,并且引用被保证处于幻影可达状态——这意味着它已经被终结,无法复活——确保清理逻辑在一个不可挽回的不可达对象上操作。
public class NativeResource { private static final Cleaner cleaner = Cleaner.create(); private final long nativeHandle; public NativeResource() { nativeHandle = allocateNative(); cleaner.register(this, new CleanupAction(nativeHandle)); Reference.reachabilityFence(this); } private static class CleanupAction implements Runnable { private final long handle; CleanupAction(long handle) { this.handle = handle; } @Override public void run() { releaseNative(handle); } } private native long allocateNative(); private static native void releaseNative(long handle); }
我们的团队管理着一个高吞吐量的图像处理管道,其中ImageProcessor对象封装了通过JNI分配的本地OpenCV缓冲区。最初,我们依靠finalize()调用cvReleaseImage(),但尽管Java堆稳定,我们还是偶尔遇到本地内存耗尽,伴随着间歇性的段错误,提示本地内存中出现了使用后释放的错误。
考虑的第一个方法是保留finalize(),但添加一个复活保护,我们在一个静态映射上进行了同步,以跟踪“死亡”对象。这遭遇了不可预测的延迟——最终化可能在堆压力开始后的几分钟内发生——而保护逻辑本身通过保持对“死亡”对象的强引用在跟踪映射中造成了内存泄漏,反而完全阻止了它们的回收,同时仍然允许复活竞争条件。
第二种方法涉及使用java.lang.ref.Cleaner,通过在实例构造函数中的lambda捕获本地指针进行不加思索的注册:cleaner.register(this, () -> free(pointer))。虽然这避免了最终化延迟,但如果this在构造期间逃逸,就有可能提前被回收,关键是,如果lambda意外地关闭了ImageProcessor实例而不仅仅是pointer值,它将创建一个强引用循环,防止对引用对象的垃圾回收,尽管仍然从本质上防止复活。
我们选择了第三种方法:实现一个静态嵌套的CleaningAction类,它仅持有本地指针(作为long),并实现Runnable,与外部的ImageProcessor实例完全解耦。我们在成功的本地分配后立即注册清理操作,并在构造函数结束时明确调用**Reference.reachabilityFence(this)**以确保对象在注册完成之前保持可达。这消除了复活风险和本地泄漏,将内存压力事件的发生从每天一次减少到六个月内为零。
为什么Cleaner使用PhantomReference而不是WeakReference或SoftReference,以及这如何防止清理操作访问引用的状态?
PhantomReference被使用是因为它允许垃圾收集器识别可回收对象,而不允许程序代码在对象进入幻影可达状态后访问引用的字段或方法。与WeakReference不同,后者允许在收集之前通过get()检索引用,PhantomReference始终从get()返回null,确保清理操作在逻辑上操作于已销毁对象的假设,防止任何复活尝试或状态检查,这可能会违反事后不变性。
在Object.finalize()的上下文中,“复活”攻击是什么,为什么它违反了类型系统的安全保证?
复活发生在finalize()方法将this引用存储到静态字段或活跃对象图中,使对象在垃圾收集器标记其进行回收后再次可达。这违反了对象构造函数恰好运行一次和终结器最多运行一次的约束,允许恶意或有缺陷的代码在本地资源释放但Java字段仍然可访问的部分销毁状态中观察对象,导致使用后释放的漏洞和不一致的对象行为。
Reference.reachabilityFence与JVM的即时编译优化如何互动,当使用Cleaner注册时何时严格需要使用它?
Reference.reachabilityFence充当编译器障碍,防止JVM的优化器在关键部分完成之前重新排序或消除对象引用,特别是防止“早期发布”,即在对象的构造函数仍在执行时对其进行不可达。因此,在构造期间使用Cleaner注册对象时严格必要,因为没有它,JVM可能会在本地资源分配之后但在注册调用之前判断this不再需要,允许清理器运行并在构造过程中继续初始化对象时释放资源,从而导致资源损坏。