[英]Verifying Jar signature doesn't work in Java
我有一个签名的Jar压缩文件,其中包含以下内容:
之后,我通过向image.bin添加一些字符来创建了一个篡改的Jar文件。 我用
jarsigner -verify jar.zip
给错误的错误
jarsigner: java.lang.SecurityException: SHA1 digest error for image.bin
这是预期的。
现在,我需要用Java以编程方式验证这个Jar zip, 这里有一个示例。 基本上,它只是打开一个Jar文件,遍历所有条目并检查SecuirtyException。 但是,它没有提供任何SecurityException。 我想知道我在这里可能会错过什么。
我在grepcode上阅读了jarsigner的源代码,对答案的以下修改似乎给了我一致的结果:
import java.io.IOException;
import java.io.InputStream;
import java.util.Enumeration;
import java.util.jar.JarEntry;
import java.util.jar.JarFile;
/** @see http://stackoverflow.com/questions/5587656 */
public class Verify {
public static void main(String[] args) throws IOException {
System.out.println(verify(new JarFile(args[0])));
}
private static boolean verify(JarFile jar) throws IOException {
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
InputStream is = null;
byte buffer[] = new byte[8192];
try {
is = jar.getInputStream(entry);
int n;
while ((n = is.read(buffer, 0, buffer.length)) != -1) {
}
} catch (SecurityException se) {
return false;
} finally {
if (is != null) {
is.close();
}
}
}
return true;
}
}
即,如果您阅读条目的内容,它将触发检查。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.