需要验证 JAR 文件的完整性吗？

Question

我有一个 zip 文件，其中包含许多从 HTTPS 站点下载的 jar 文件。

这些 jar 形成了命令行驱动的服务器端应用程序。我有一个 Java 编写的应用程序安装程序，它会执行一些检查来验证 jar 是否使用特定的受信任数字证书进行签名，并且在传输过程中没有被修改。

是否有必要在收到 jar 文件时验证它，或者这是 JVM 所做的事情？我知道 JVM 会验证字节码，但是 jar 签名呢？

Answer 1

这取决于罐子的使用方式。

如果 jar 最终由类加载器加载，则类加载器可能会执行签名验证。如果类加载器恰好是 URLClassLoader，然后它将执行签名验证。

如果您使用 JarFile 类在 Java API 中访问 JAR，然后使用接受 String 或 File 参数的简单构造函数将导致执行验证。如果需要，必须明确关闭验证。