我有一个包含多个JAR库的Java Web Start应用程序。现在我需要签署JAR以使其通过浏览器工作。
我的问题是:除了主要的Jar签名,我还需要在应用程序内签署每个库JAR吗?
答案 0 :(得分:1)
想象一下,如果你有一个农场并且正在饲养有价值的鸵鸟。为了防止鸵鸟徘徊和被狮子吃掉,你在农场周围竖起围栏。但不幸的是,你只有足够的围栏线围绕农场的4个侧面中的3个围栏。鸵鸟(以及您的投资)是否安全?当然不是。
安全性与原则相同。 未经过数字签名的任何 库Jar都是安全漏洞的潜在来源。通向底线..
应用中的每个Jar。必须在应用程序之前进行数字签名。可以被认为是安全和值得信赖的。
..如果我签署已签名的库,新签名会覆盖旧签名吗?
不一定。从jarsigner docs: Multiple Signatures for a JAR File我们看到..
JAR文件的多个签名
通过在文件上运行jarsigner命令,可以由多人签名JAR文件 多次并每次为不同的人指定别名,如下所示:
jarsigner myBundle.jar susan
jarsigner myBundle.jar kevin
多次签名JAR文件时,生成的JAR文件中有多个.SF和.DSA文件,每个签名都有一对。在前面的示例中,输出JAR文件包含具有以下名称的文件:
SUSAN.SF
SUSAN.DSA
KEVIN.SF
KEVIN.DSA