我已经使用使用 keytool 生成的 key 对我的 jar 进行了签名。在运行时,我如何验证 jar 没有被修改?
目的是利用证书信息,验证jar中的每个类在构建jar之后没有被修改过。这是一个运行时检查,因此包含代码的 jar 可以位于用户文件系统的任何位置。
最佳答案
JarFile
类嵌入了 jar validator 。此代码片段验证存档中所有条目的签名:
JarFile jar = new JarFile("/path/to/myarchive.jar");
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
try {
jar.getInputStream(entry);
} catch (SecurityException se) {
/* Incorrect signature */
throw new Error("Signature verification failed", se);
}
}
请注意,此代码验证 jar 的完整性,但不验证针对给定 key 或证书的签名。
关于java - 如何验证自签名 jar 上的签名?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4970016/