个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
我正在尝试以编程方式验证 jar 文件是否未被明显篡改。我有 2 个用例要防止。1)现有类的修改2)在jar中添加新类
我使用 jarsigner 对 jar 进行了签名。当我使用 jarsigner 验证上述任一情况时,它的工作方式与我预期的一样。
当我尝试使用中的示例以编程方式执行此操作时 How to verify a jar signed with jarsigner programmatically要么 How to verify signature on self signed jar?但是,我没有得到任何 SecurityExceptions ......或与此相关的任何异常。
不确定我做错了什么,因为这些片段似乎对其他人有用。有任何想法吗?这是 JDK 1.6 顺便说一句。
编辑:按照下面的要求,代码示例...提供您自己修改的 jar :)
JarFile myJar;
尝试
{
//在这里插入jar的完整路径
字符串库路径 = ""
身材 = 新的 JarFile(libPath,真);
//现在真的不需要这个但是用它来检查 SHA1 哈希
InputStream = myJar.getInputStream(myJar.getEntry("META-INF/MANIFEST.MF"));
list 人 = myJar.getManifest();
is.close();
验证 jar (我的 jar );
}
catch (IOException IOE)
{
throw new Exception("无法加载 jar 文件", ioe);
}
private void verifyJar(JarFile jar) 抛出异常
{
枚举
entries = jar.entries();
while (entries.hasMoreElements())
{
java.util.jar.JarEntry entry = entries.nextElement();
尝试
{
jar.getInputStream(入口);
//还尝试实际从流中创建一个变量,以防它在验证之前丢弃它
//InputStream = jar.getInputStream(entry);
//is.close();
}
catch (SecurityException se)
{
/* 错误的签名 */
throw new Exception("签名验证失败", se);
}
catch (IOException IOE)
{
throw new Exception("无法加载 jar 文件条目", ioe);
}
}
}
最佳答案
使用下面的示例,我获得了正确签名的 JAR (true) 和更改的 JAR (false) 的预期结果。触发测试效果的一种简单方法是更改 META-INF/MANIFEST.MF 中列出的摘要之一。
请注意,此方法会忽略 list 中未列出的条目。使用 jarsigner -verify 报告,“此 jar 包含未经完整性检查的未签名条目。”完全读取流后,entry.getCodeSigners() 可用于确定条目是否有任何签名者。
import java.io.IOException;
import java.io.InputStream;
import java.util.Enumeration;
import java.util.jar.JarEntry;
import java.util.jar.JarFile;
/** @see http://stackoverflow.com/questions/5587656 */
public class Verify {
public static void main(String[] args) throws IOException {
System.out.println(verify(new JarFile(args[0])));
}
private static boolean verify(JarFile jar) throws IOException {
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
try {
byte[] buffer = new byte[8192];
InputStream is = jar.getInputStream(entry);
while ((is.read(buffer, 0, buffer.length)) != -1) {
// We just read. This will throw a SecurityException
// if a signature/digest check fails.
}
} catch (SecurityException se) {
return false;
}
}
return true;
}
}
注意:对于 JDK 8,仅获取输入流是不够的。如 jarsigner ,也必须从中读取流。在上面的代码中,一个循环改编自 jar signer source获取输入流后添加。
关于java - 验证 Jar 签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5587656/
25
4
0
tl;博士:我们的 Spring Boot jar 中的类似乎可以看到捆绑的 jar 中的类,但它们的内容似乎无法看到。为什么? 我们的主要产品是一个网络应用程序,但所有的业务逻辑都集中在一个核心 m
我有一个适用于 Java 8 的 jar。 我想创建一个新 jar,它将是多版本 JAR 但为空,只有 META-INF/versions 中的“修补”类. 我想要一个单独的 jar,这样人们就可以在
免责声明: 在我得到“这个问题已经被问了 1000 次”的标准之前,让我说,是的,我知道。我读了又读又读。看了 JarJar 和 One-JAR,但问题是:我是自学成才的,只有几个月的经验,而且我不熟
我知道要组合多个 jar 并创建一个可执行 jar,我需要使用像 OneJar 这样的工具如果我不想解压相关的 jar 。 OneJar 有自己的自定义类加载器,可以在关联的 jar 中找到所需的类并
在我的项目中,我使用许多 jar 文件来支持该项目。随着 jar 文件数量的增加,我想将所有 jar 文件移动到一个 jar 中并利用它。您能给我提供有用的链接吗?可以帮助我做到这一点。 最佳答案 有
我有一个脚本可以删除目录中的低版本 jars 文件。 #!/bin/bash #Script to remove lower version jar files. for PREFIX in `ls
可执行 jar 文件可以自行重启吗?例如,在用户做出一些选择后,程序会说“重新启动应用程序?”并且用户单击"is",然后 jar 关闭并自行重新启动。 最佳答案 需要重新启动应用程序是糟糕设计的标志。
过去两年我一直有这个问题。 我有一个从 Internet 下载的 .jar 文件。它应该是一个魔方计时器。 当我双击这个 .jar 文件时,没有任何反应。如果我将 .jar 文件设置为使用 java.
我正在尝试在多项目Gradle构建中创建一个胖jar文件,如下所示: root +-- project1 +-- project2 project1提供了基本功能,然后project2将其用于
我需要 Maven 的配置,其中项目内的所有库都以 jar 格式保存在最终的 jar 中...所以我需要在最终的 jar 中包含 jar。为此我只能使用maven。我已经尝试过像 one-jar 这样
JAR、Fat JAR 和 Executable JAR 之间有什么区别?它们是如何从命令行和 gradle.build 任务创建的(如果是 gradle 项目)? 除了上面提到的以外,还有其他的JA
我阅读了很多构建具有依赖项的可执行 jar 的解决方案(maven 阴影插件、maven 依赖项插件、maven 程序集插件)和所有这些插件解压依赖项 jar 并将它们重新打包到可执行 jar 中。唯
我想问一下java命令中-jar选项前后传递参数有什么区别。考虑 $SOME_ENV_VAR=-Dinstance=qa 最佳答案 取决于SOME_ENV_VAR的内容;假设它包含有效的命令行参数,例
我试图了解如何打包用 Clojure 编写的命令行应用程序进行分发。我不希望用户不得不使用 java -jar myproject.jar arg1 arg2运行程序。 PHP 有一个叫做“Phar”
在 gradle 中 - 如何将 jar 嵌入到 lib 中的构建输出 jar 中目录(特别是 lib/enttoolkit.jar 和 lib/mail.jar)? 最佳答案 如果您的项目中的一个目
查看 Google gson 2.8.5 ,我看到这里分发了几个 jar https://repo1.maven.org/maven2/com/google/code/gson/gson/2.8.5/
我正在将 jar 文件和一个主类合并到一个 jar 中。问题是我的主类使用这些 jar ,如果它在一个 jar 中,它就会抛出找不到类定义。如何让类(class)看到 jar 里的 jar ? 最佳答
我正在使用 Maven 进行开发。我有一个要求,我想在我的项目 jar 中包含一些第三方 jar 并排除 pom.xml 文件中指定的其他 jar。下面是我的 pom.xml 文件。 4.0.0 c
我正在开发一个 GUI 应用程序,宁愿只分发一个 jar 而不是多个。 你能用 list 来控制它吗? 最佳答案 另一种选择是使用自定义类加载器,例如这个: http://one-jar.source
我看到许多 Java 包都有 api、impl 和 bundle jar(name-api.jar、name-impl.jar、name-bundle.jar)。有人可以解释这些是什么意思吗?应用程序
我是一名优秀的程序员,十分优秀!