西格贾尔& jar:sign 与 Artifactory 校验和

Question

如果作为构建的一部分，我通过 Ant 的 signjar 任务对一个 jar 进行签名，那么它将被视为“已签名的 jar”。通过执行 jar:sign 目标，可以在 Maven 领域完成同样的事情。

Artifactory 等存储库管理器具有校验和的概念，您可以因校验和错误而导致部署失败，可以重新计算错误/丢失的校验和，并根据校验和状态采取各种其他操作。

我想知道通过 signjar 或 jar:sign 等方法获得的 jar 的结果（“签名”）与 Artifactory 的校验和概念之间有什么关系。

“校验和”只是运行这些签名任务/目标所产生的内容的通用术语吗？或者它们是完全不同的项目？

Answer 1

校验和是文件内容的数字表示。签名是给文件添加签名的过程。

由于签名过程中文件的大小和内容会发生变化，因此签名和未签名的同一文件的校验和会有所不同。

使用校验和验证文件传输是否成功的过程对于 Artifactory 来说并不特殊。
对于上传，它是这样的：

1. 客户端在上传文件之前计算校验和。
2. 客户端沿着文件上传校验和（通常在带有 .md5 或 sha1 扩展名的单独文本文件中，这是计算校验和的两种方法）。
3. 上传服务器计算上传文件的校验和后。
4. 服务器将其校验和与上传的校验和进行比较。如果它们匹配 - 全部绿色。如果不是 - 这取决于您在问题中提到的设置（上传失败，或无论如何通过）。

当您使用构建工具（Maven 或 Ivy）在签名后将 jar 部署到 Artifactory 时，计算出的校验和将是正确的（签名的 jar 的），因此一切都应该按预期工作。

Answer 2

签名的 jar 可以保证其内容是由签名者创建的。而校验和只是检查文件是否完好。例如，某人可以修改文件并更改校验和以匹配新内容。