java – 如何验证自签名jar上的签名?
作者:互联网
我用我用keytool生成的密钥签署了我的jar.在运行时,如何验证jar是否未被修改?
目标是使用证书信息并验证自jar构建以来jar中的每个类都未被修改.这是运行时检查,因此包含代码的jar可以位于用户文件系统的任何位置.
解决方法:
JarFile类嵌入了jar验证器.此代码段验证存档中所有条目的签名:
JarFile jar = new JarFile("/path/to/myarchive.jar");
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
try {
jar.getInputStream(entry);
} catch (SecurityException se) {
/* Incorrect signature */
throw new Error("Signature verification failed", se);
}
}
请注意,此代码验证jar的完整性,但不会根据给定的密钥或证书验证签名.
标签:java,keytool,jarsigner 来源: https://codeday.me/bug/20190704/1382168.html