Как проверить подпись на собственной подписанной банке?

Question

Я подписал свою банку ключом, сгенерированным с помощью keytool.Как во время выполнения проверить, что банка не была изменена?

Цель состоит в том, чтобы использовать информацию о сертификате и убедиться, что каждый класс в банке не был изменен с момента его создания.Это проверка во время выполнения, поэтому файл jar, содержащий код, может находиться в любом месте файловой системы пользователя.

Answer 1

Класс JarFile встраивает верификатор jar. Этот фрагмент кода проверяет подпись всех записей в архиве:

JarFile jar = new JarFile("/path/to/myarchive.jar");
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
    JarEntry entry = entries.nextElement();
    try {
        jar.getInputStream(entry);
    } catch (SecurityException se) {
        /* Incorrect signature */
        throw new Error("Signature verification failed", se);
    }
}

Обратите внимание, что этот код проверяет целостность банки, но не проверяет подпись с данным ключом или сертификатом.