Question

我需要从我的应用程序验证签名的jar。我发现我可以通过阅读所有内容来实现，如下所示：

public boolean verifyJar(String filePath) {
    try {
        JarFile jar = new JarFile(filePath, true);
        Enumeration<JarEntry> entries = jar.entries();
        while (entries.hasMoreElements()) {
            JarEntry entry = entries.nextElement();
            InputStream is = jar.getInputStream(entry);
            byte[] buffer = new byte[10000];
            while (is.read(buffer, 0, buffer.length) != -1) {
                // we just read. this will throw a SecurityException
                // if a signature/digest check fails.
            }
            is.close();
        }
        return true;
    } catch (Exception e) {
        return false;
    }
}

如果我使用有效的jar执行检查程序，它会通过。如果我通过将罐子切成两半来腐蚀它，它就会失败。但如果我在一个进程中同时执行这两个操作，则第二个检查通过（就像它读取文件的先前版本一样）！

public static void main(String[] args) throws Exception {
    String path = "src/test/resources/temp/lib.jar";
    // Passes - that's good
    System.out.println(new Validator().verifyJar(path));

    byte[] content = FileUtil.readFile(path);
    FileUtil.save(path, Arrays.copyOf(content, content.length / 2));
    // Passes - but it shouldn't.
    // Fails if the first check is commented out though.
    System.out.println(new Validator().verifyJar(path));
}

所以看起来ZipFile或JarFile以某种方式缓存。我该如何抑制这种行为？

Answer 1

必须关闭ZipFile才能使本机代码不缓存。如果路径和File.lastModified相同，则Iirc ZipFile包装相同的句柄（ jzfile ）。

或者触摸File.lastModified也可以做到这一点，但是必须手动关闭任何东西（包括ZipFile）以防止资源泄漏。

Jar文件/ Zip文件缓存？

1 个答案: