Java：验证jar是否签名答案

【问题标题】：Java: Verify whether the jar is signedJava：验证jar是否签名
【发布时间】：2013-03-15 00:34:15
【问题描述】：

我正在与 Jarsigner 合作。我想检查给定的 jar 是否已签名。如果用户上传 jar 文件，我想查看 jarfile 是否已签名。我尝试使用以下代码 (http://docs.oracle.com/javase/6/docs/technotes/guides/security/crypto/HowToImplAProvider.html#integritycheck)

    // Ensure the jar file is signed.
    Manifest man = jarFile.getManifest();
    if (man == null) {
        throw new SecurityException("The provider is not signed");
    }

但即使我提供了一个未签名的 jar，man 对象也不为空，并且不会抛出此异常。如何检查给定的 jar 是否刚刚签名？

【问题讨论】：

签名的 jars 通常在 META-INF/ 目录下也有一个 .sf 文件和一个 .dsa 文件。
JarVerifier 是一个验证 JAR 文件签名的类。除了清单文件的存在之外，您还需要检查更多的东西。查看该课程以供参考。
@Henrik 你能告诉我们如何使用 JarVerifier 吗？
@Mihir 它的界面比较简单。一个最小的例子是JarFile jarfile = new JarFile(applet); JarVerifier.verify(jarfile, trustedCertificates );。请注意，我省略了很多异常处理和东西。 trustedCertificates 是 X509 证书的 List。希望对您有所帮助。

标签： java code-signing jarsigner

【解决方案1】：

假设您只想知道一个 jar 是否已签名（不验证签名本身），这个 sn-p 应该可以工作：

  boolean isJarSigned(JarFile jarFile) {
    try {
      final Manifest man = jarFile.getManifest();
      if (man == null)
        return false;

      // getEntries will contain all signed files
      return !man.getEntries().isEmpty();
    } catch (Throwable t) {
      t.printStackTrace();

      return false;
    } finally {
      // Make sure the jarFile gets always closed
      try {
        if (jarFile != null)
          jarFile.close();
      } catch (IOException e) {
        e.printStackTrace();
      }
    }
  }

顺便说一句，我知道我的答案晚了 3 年，但我自己也在拼命地寻找它，所以我想我不妨发布我的解决方案。

【讨论】：

非空清单并不意味着已签名的 JAR 文件。省略签名验证步骤没有多大意义。
@EJP Manifest.getEntries() 不包含 Created-By 等主要属性。从 Java 8 开始，它只返回您不会从 Manifest.getMainAttributes() 获得的条目。我建议您查看这些方法的 Javadocs 和 Manifest.getAttributes(String)

【解决方案2】：

您在引用的页面中途停了下来。你错过了the part where the signature is verified。

【讨论】：

OP 没有要求验证签名。这个问题很清楚地询问如何确定一个罐子是否有签名。如果它有一个验证它通常是有意义的。但是，如果您想检查 jar 是否已签名，因为您在代码中的其他位置验证签名，您当然不需要遍历 jar 的内容。
@BrainStone 无效的签名根本不是真正的签名。返回误报的技术对任何人都没有任何用处。