有关在同一包中混合签名和未签名代码的问题

Question

每个人。据我所知，在JVM中，有些类是经过签名的，而有些类不在同一包下是不允许的。但是这个场景怎么样：我编写了一个 Java Web Start 应用程序，它只有一个像“test.jar”这样的 jar 文件。在 test.jar 中，我编写了一个自定义类加载器，它通过字节码（当然它们没有签名）从网络或硬盘加载类。运行时加载的字节代码中的一些类位于 test.jar 中存在的同一包下。这可以吗？ 另一个问题是 JVM 如何以及在哪里检查哪些类已签名，哪些未签名，以及签名的类是由同一签名者签名的？我认为这些信息应该只是来自jar文件中的MANIFEST.MF文件，对于.class文件的内容，签名和未签名没有区别，对吗？谢谢。我不太了解 JAR 签名机制，但我想要。所以请帮助我，任何反馈都将非常感激。

Answer 1

证书验证的实现存在于 java.lang.Classloader 中 Java 运行时的类。它不能仅由自定义类加载器覆盖，因为此过程是作为模板设计模式实现的，证书验证过程是在私有方法中实现的 - checkCerts(String name, CodeSource cs)，通过类的源。覆盖默认行为的一种可能机制是覆盖自定义类加载器中的 DefineClass 方法；在我个人看来，我认为此选项充满风险（由于可能对安全模型产生影响），因此如果要执行此步骤，建议采取充分的预防措施。

显然，运行时中的 Classloader 类是负责验证包使用证书的一致性的类。该实现使用 Map 来存储证书，每个包都有一个证书，任何包的第一个加载的类确定应该用于该包中存在的所有其他类的证书。

如果允许同一包中的不同类拥有不同的签名者，那么我建议了解运行时使用（和构建）的安全模型，因为影响可能不一定仅限于自定义类加载器类。