Vérifier l'intégrité des fichiers JAR nécessaire?

Question

J'ai un fichier zip contenant un certain nombre de fichiers jar qui est en cours de téléchargement à partir d'un site HTTPS.

Les fichiers jar forment une application côté serveur pilotée par une ligne de commande. J'ai un programme d'installation d'application écrit en Java qui effectue des vérifications pour vérifier que les bocaux sont signés en utilisant un certificat numérique de confiance particulier et qu'ils n'ont pas été modifiés pendant leur transport.

Est-il nécessaire de vérifier les fichiers jar à la réception, ou est-ce quelque chose que la JVM fait de toute façon? Je sais que la JVM vérifie le code d'octet, mais qu'en est-il de la signature de pot?

Answer 1

Cela dépend de la façon dont les pots sont utilisés.

Si les conteneurs sont éventuellement chargés par un chargeur de classe, le chargeur de classe peut effectuer la vérification de la signature. Si le classloader se trouve être une instance de URLClassLoader, alors effectuera la vérification de la signature.

Si vous utilisez la classe JarFile dans l'API Java pour accéder aux fichiers JAR, l'utilisation des constructeurs simples qui acceptent les arguments String ou File entraînera la vérification. On doit explicitement désactiver la vérification, si nécessaire.