es The Security Manager is deprecated and will be removed in a future release

### Java 安全管理员 (Security Manager) 的弃用及其替代方案

Java 安全管理器（Security Manager）自早期版本以来一直是 Java 平台的一部分，用于执行细粒度的安全策略。然而，在较新的 JDK 版本中，安全管理器逐渐被弃用。

#### 弃用原因
随着现代应用程序架构的发展以及更强大的隔离机制的引入，传统的基于安全管理器的安全模型被认为过于复杂且难以维护。许多开发者发现配置和调试安全管理器非常困难，尤其是在复杂的分布式环境中[^3]。

#### 替代方案
为了应对这一变化并提供更好的安全性保障，建议采用以下几种方法：

- **模块化系统**：利用 Java 9 中引入的 JPMS（Java Platform Module System），通过定义明确的服务边界和服务依赖关系来增强应用内部组件之间的隔离性。

- **沙箱环境**：对于需要严格控制的应用程序运行时行为的情况，可以考虑使用容器技术如 Docker 或者虚拟机来进行资源限制与访问权限管理。

- **类加载器层次结构**：合理设计类加载器树形结构也可以帮助实现一定程度上的代码库分离，从而减少潜在风险暴露面。

- **第三方框架/工具**：借助 Spring Security 等成熟的开源项目能够快速搭建起一套完善的身份验证及授权体系；此外还有像 OWASP ESAPI 这样的企业级安全库提供了丰富的防护措施供选用。

#### 移除计划
目前官方并没有给出确切的时间表说明何时会完全移除 `SecurityManager` 类及相关 API 。不过根据当前趋势来看，在未来的某个主要版本更新里很可能会正式宣布其退役，并鼓励用户迁移到上述提到的新一代解决方案上去[^4]。

// 示例：如何在不启用 SecurityManager 的情况下设置 JVM 参数
public class Main {
    public static void main(String[] args) throws Exception {
        // 不再推荐的做法
        // System.setSecurityManager(new MyCustomSecurityManager());

        // 推荐做法之一：使用模块化特性保护敏感功能免受外部调用影响
        ServiceLoader<MySensitiveService> loader = ServiceLoader.load(MySensitiveService.class);
        for (MySensitiveService service : loader) {
            service.execute();
        }
    }
}