4
我已经使用keytool生成的密钥签署了我的jar。在运行时,我如何验证jar没有被修改?如何验证自签名jar上的签名?
我们的目标是使用证书信息并验证自jar生成以来jar中的每个类都没有被修改过。这是一个运行时检查,因此包含代码的jar可以位于用户文件系统的任何位置。
我已经使用keytool生成的密钥签署了我的jar。在运行时,我如何验证jar没有被修改?如何验证自签名jar上的签名?
我们的目标是使用证书信息并验证自jar生成以来jar中的每个类都没有被修改过。这是一个运行时检查,因此包含代码的jar可以位于用户文件系统的任何位置。
JarFile
类嵌入jar验证器。这段代码验证在归档中的所有条目的签名:
JarFile jar = new JarFile("/path/to/myarchive.jar");
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
try {
jar.getInputStream(entry);
} catch (SecurityException se) {
/* Incorrect signature */
throw new Error("Signature verification failed", se);
}
}
注意,此代码验证罐子的完整性,但对一个给定的密钥或证书不验证签名。