Java 以编程方式验证并签署Jar
我不熟悉这个话题,因此我希望我能使用正确的词汇。 有可能在Java self中获得Jarsigner的可能性吗 我需要以编程方式完成以下工作:Java 以编程方式验证并签署Jar,java,jar,signing,jarsigner,Java,Jar,Signing,Jarsigner,我不熟悉这个话题,因此我希望我能使用正确的词汇。 有可能在Java self中获得Jarsigner的可能性吗 我需要以编程方式完成以下工作: 验证是否使用密钥库中的特定私钥对jar进行了签名 如果jar已验证:取消jar的签名 使用来自官方证书颁发机构的另一个私钥对jar进行签名,该私钥位于同一密钥库或另一密钥库中 在伪代码中,我想象如下: JarVerifier verifier = new JarVerifier(/*all needed parameters like the loc
- 验证是否使用密钥库中的特定私钥对jar进行了签名
- 如果jar已验证:取消jar的签名
- 使用来自官方证书颁发机构的另一个私钥对jar进行签名,该私钥位于同一密钥库或另一密钥库中
JarVerifier verifier = new JarVerifier(/*all needed parameters like the location of the keystore*/);
verifier.verify(jarFile); //returns a value which indicates the result (an Enum or an integer value)
public class JarSigner extends SignJar {
public JarSigner() {
project = new Project();
project.init();
taskType = "signJar";
taskName = "signJar";
target = new Target();
}
public static void signJar(File jarToSign, String alias, String keypass, String keystore, String storepass) {
JarSigner signer = new JarSigner();
signer.setJar(jarToSign);
signer.setAlias(alias);
signer.setKeypass(keypass);
signer.setKeystore(keystore);
signer.setStorepass(storepass);
signer.setSignedjar(jarToSign);
signer.execute();
}
}
签署jar应该以类似的方式工作:
JarSigner signer = new JarSigner(/*all needed parameters like the location of the keystore, passwords, alias*/);
signer.sign(jarFile);
我知道这是许多其他问题的重复,但我对他们的答案不满意。在大多数情况下,这些答案的解决方案是一个自行编写的类、对OpenJDK中的类的修改,或者提示代码仍需编写,以及如何编写。
这对我来说是不可接受的,因为它们没有维护(或者我必须自己编写和维护这些类),我对它们的正确性(特别是如果我必须自己编写代码)和许可证问题一无所知
我不明白的是,Oracle似乎没有提供简单的解决方案,特别是因为这是一个非常关键的主题,错误可能会导致系统不安全。我试图自己回答这个问题 验证 要验证Jar,似乎没有一个好的现成的解决方案。因此,需要编写自己的代码 签名 Ant任务能够对JAR进行签名,并且可以 签署JAR的类可以如下所示:
JarVerifier verifier = new JarVerifier(/*all needed parameters like the location of the keystore*/);
verifier.verify(jarFile); //returns a value which indicates the result (an Enum or an integer value)
public class JarSigner extends SignJar {
public JarSigner() {
project = new Project();
project.init();
taskType = "signJar";
taskName = "signJar";
target = new Target();
}
public static void signJar(File jarToSign, String alias, String keypass, String keystore, String storepass) {
JarSigner signer = new JarSigner();
signer.setJar(jarToSign);
signer.setAlias(alias);
signer.setKeypass(keypass);
signer.setKeystore(keystore);
signer.setStorepass(storepass);
signer.setSignedjar(jarToSign);
signer.execute();
}
}
取消签名
我还不需要它。你对其他答案的反对意见是站不住脚的。您自己的代码也必须维护。是的,当然。但是,如果我必须像其他答案一样维护自己的JarSigner和JarVerifier,这会有所不同。或者如果我只需要维护使用Oracle、Apache等提供的JarSigner和JarVerifier的代码,@EJP:我的文本不够清晰。我希望我现在说得更清楚一点。一句话:我不想自己编写此类类,因为(对我来说)很难证明它们的正确性。为什么不使用提供的(JRE)实用程序呢?完全避免用代码编写。我认为编写不必要的代码远不如使用提供的实用程序优雅。:-)运行时调用并不性感,但可以避免不必要的功能重复。