Jar包的签名和验签(https://www.dazhuanlan.com/2020/02/02/5e36259867c6d/)
Jar包经过签名后,内置入了数字签名和public key,验证者可以使用这两项数据进行验证,从而可以使用Jar包。
JDK 提供了 keytool 和 jarsigner 两个工具用来进行 Jar 包签名和验证。keytool 用来生成和管理 keystore。keystore 是一个数据文件,存储了 key pair 有关的2种数据:private key 和 certificate,而 certificate 包含了 public key。jarsigner 读取 keystore,为 Jar 包进行数字签名。jarsigner 也可以对签名的 Jar 包进行验证。以下方法适用于JDK1.8环境。
1. 用keytool生成keystore
对于在本地生成的Jar包,首先要生成一个keystore:
keytool -genkey -alias zhaoyh -keyalg RSA -validity 2000 -keystore zhaoyh.keystore
输入所需要的数据即可!
查看签名信息:
keytool -list -keystore "zhaoyh.keystore"
2. 用jarsigner对Jar包进行签名
对于Jar包Ds.jar而言:
jarsigner -tsa http://timestamp.digicert.com -sigalg SHA1withRSA -digestalg SHA1 -verbose -keystore zhaoyh.keystore -signedjar signed.jar XX.jar zhaoyh
3. 验证
jarsigner -verify signed.jar
编程式验签网上找了很多都不行,最后发现了一个可用的,贴出链接如下:
https://docs.oracle.com/javase/6/docs/technotes/guides/security/crypto/MyJCE.java