Tomcat为什么要打破双亲委派？怎么保证安全

Tomcat打破双亲委派模型的原因主要是为了解决Web应用程序中的类加载冲突问题，并提供更好的灵活性和可扩展性。在Java中，双亲委派模型是一种类加载机制，它确保了类加载的安全性和一致性，但在Web应用程序的场景下，它可能会带来以下问题：

类加载冲突：Web应用程序通常需要依赖一些共享的类库，这些类库可能由容器提供或者由应用程序自身提供。当使用双亲委派模型时，容器的类加载器会先尝试加载共享类库，导致Web应用程序中提供的同名类无法被正确加载，从而产生类加载冲突。

限制灵活性：双亲委派模型要求类加载器在委派给父加载器之前尝试加载类，这可能会限制Web应用程序自定义类加载的灵活性。有些Web应用程序可能需要加载自定义的类或资源，而不希望受到容器类加载器的限制。

为了解决这些问题，Tomcat采用了自定义的Web应用程序类加载器，它打破了双亲委派模型的一部分规则，具体表现在：

Web应用程序类加载器优先查找：Web应用程序类加载器首先会查找Web应用程序内部的类和资源，而不是立即委派给父类加载器。这样可以确保Web应用程序中提供的类能够被正确加载，避免类加载冲突。

对于JRE基本类和JavaEE API类的处理：对于JRE基本类（如Java标准库类），Web应用程序类加载器不能覆盖，这是为了保证Java核心类的一致性和稳定性。而对于JavaEE API类（如Servlet、JSP、EL、WebSocket等），Web应用程序类加载器会先委派给父类加载器加载，确保使用Tomcat实现的JavaEE规范。

关于安全问题，Tomcat打破双亲委派模型确实带来了一定的安全风险，因为自定义的类加载器可能会加载不受信任的类或资源。然而，Tomcat通过一系列的安全措施来减轻这些风险，例如：

安全管理器：Tomcat可以配置使用安全管理器（SecurityManager），它允许上下文在各个沙箱中运行，并对系统资源的访问提供更精细的控制。

代码审查和权限控制：开发者和管理员需要仔细审查和测试自定义的类加载器，确保其加载的类是可信的，并配置适当的权限来限制对敏感资源的访问。

更新和维护：Tomcat社区会定期发布安全更新和补丁，以修复已知的安全漏洞，并建议用户及时更新到最新版本。

综上所述，Tomcat打破双亲委派模型是为了解决Web应用程序中的类加载冲突问题，并提供更好的灵活性和可扩展性。虽然这带来了一定的安全风险，但通过采取适当的安全措施，可以最大限度地降低这些风险。