使用可信和不可信代码保护Java应用程序

假设我想提供一个支持插件的Java应用程序。出于安全原因，我希望第一方代码（即我的代码）基本上不受限制地运行，但我希望限制插件能够执行的操作。正确的做法是什么？使用SecurityManager是否合适？其次，是否有一种方法可以强制应用程序启动时使用一个特定的策略文件，或者我是否应该假设，如果最终用户想要将另一个策略文件破解到位，这是他们的特权，或者至少，我无法阻止它

---

我之所以怀疑SecurityManager，是因为该类的目标似乎是阻止整个应用程序做最终用户不想做的事情，而我想使用它来管理应用程序的子集，对最终用户完全不透明，如果可能的话。

可能重复-@DanW我将对此进行更多了解，但我不确定URLClassLoader是否相关。我很喜欢当地的普通罐子。