java – JNLP:在签名代码中加载未签名的代码
作者:互联网
我们在克服Java webstart的混合代码错误时遇到了困难.总之,我们有我们的主要JNLP文件,我们已经签署了它直接加载的所有代码.我们已将all-permissions选项添加到主JNLP中.它加载的主类也来自一个签名的jar.
当主要类开始时,它会触发一些需要加载从JNLP B中提取的未签名资源的东西.JNLP B的资源都没有签名,也不需要任何特殊权限.
所有已签名的代码都是基于Oracle的混合代码文档设置的,并且jar文件在签名之前已经设置了“Trusted-Library:true”的清单.
当尝试通过签名代码加载未签名的代码时,我们得到一个类未找到错误,如下所示:
java.lang.reflect.InvocationTargetException
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at com.sun.javaws.Launcher.executeApplication(Unknown Source)
at com.sun.javaws.Launcher.executeMainClass(Unknown Source)
at com.sun.javaws.Launcher.doLaunchApp(Unknown Source)
at com.sun.javaws.Launcher.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.lang.NoClassDefFoundError: org/some/external/package/that/is/not/signed
at org.our.signed.package.main(Main.java:87)
... 9 more
Caused by: java.lang.ClassNotFoundException: org.some.external.package.that.is.not.signed
at java.net.URLClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(Unknown Source)
at com.sun.jnlp.JNLPClassLoader.findClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
... 10 more
以下是JNLP中的情景:
JNLP答:(总结)
<jnlp spec="1.5+" codebase="...." href="......">
<information>
...etc
</information>
<security>
<all-permissions/>
</security>
<resources>
<j2se version="1.6+" initial-heap-size="80m" max-heap-size="256m" href="http://java.sun.com/products/autodl/j2se"/>
<jar href="signedJar_1.jar" download="eager" main="true"/>
<jar href="signedJar_2.jar" download="eager" main="false"/>
<extension name="unsigned_ext" href="unsigned.jnlp"/>
</resources>
<application-desc main-class="(FROM SIGNED CLASS in signedJar_1.jar)"/>
</jnlp>
JNLP B(unsigned.jnlp加载器)
<jnlp spec="1.5+" codebase="....." href="......">
<information>
...etc
</information>
<resources>
<jar href="unsigned.jar"/>
</resources>
<component-desc/>
</jnlp>
我们已经注意到安全异常正常工作,因为如果我们将未签名的jar移动到具有所有权限且已签名jar的JNLP中,我们会得到预期的安全异常,Java将不允许我们将签名代码与Trusted-Library:没有清单属性的true和unsigned代码.
想法?是否有理由类加载器无法从无符号代码中找到java文件?有没有什么特别的东西我们缺少允许签名代码运行未签名的代码?我只看到了人们在使用未签名的代码运行签名代码时遇到问题的情况,我可以理解.
解决方法:
可信库类加载器是(可能是不可信的)applet类加载器的父(在类加载器委托的意义上).把它想象成是引导类加载器.因此,不受信任的类可以链接到可信库类,但反之亦然.无需更改清单和使用WebStart,您可以通过添加带有-Xbootclasspath / a的可信类和使用-classpath的不受信任的类来尝试这些东西(这是在实现之前测试该功能的方式).
JNLPAppletLauncher是如何让受信任库调用applet代码的示例.可以使用Thread.currentThread().getContextClassLoader()获取applet类加载器,它只是从那里反射出来的.编写安全的可信库代码很棘手.请记住,您不能信任不受信任的代码.
标签:jnlp,java,code-signing,classloader 来源: https://codeday.me/bug/20190902/1789519.html