问:说说你对 Java 中 Jar 包的理解?
答:Jar 包的本质是将多个文件聚集为一个 ZIP 包,与传统的 ZIP 文件不同的是 Jar 包不仅用于压缩和发布,而且还用于部署和封装库、组件和插件程序,并可被编译器和 JVM 等工具直接使用。在 Jar 包中包含特殊的文件,如 manifests 和部署描述符,用来指示工具如何处理特定的 Jar 包。此外 Jar 包提供了许多 ZIP 文件没有的优势和功能,譬如 Jar 包可以保证安全性(对 Jar 文件内容加上数字化签名)、增加传输平台扩展性(作为 Java 扩展框架)、密封性和跨平台特性。
问:Jar 包中 META-INF 目录下都有什么作用?
答:很多 Jar 包包含一个 META-INF 目录,它用来存储包和扩展的配置数据(如安全性和版本信息),Java 平台会识别并解释 META-INF 目录下的文件来配置应用程序、扩展和类装载器。META-INF 目录包含的常见文件如下:
MANIFEST.MF:这个 manifest 文件定义了与扩展和包相关的数据(譬如 java -jar 命令执行的 MainClass 就在这里面指定)。
XXX.SF:这是 Jar 包的签名文件,其中 XXX 表示签名者。
XXX.DSA:这是与签名文件相关联的签名程序块文件,它存储了用于签名 Jar 文件的公共签名。
问:Jar 包签名是怎么回事,谈谈你的看法?
答:Jar 包可以用 jarsigner 工具或者直接通过 java.security API 进行签名来保证安全性。一个签名的 Jar 包与原来的 Jar 包代码部分完全相同,只是更新了它的 manifest 且在 META-INF 目录中增加了一个签名文件和一个签名块文件。
Jar 包签名采用公钥/密钥机制,通过公钥对被秘钥加密的文件进行解密来验证文件的安全性。Jar 包签名可以防止恶意者冒充某个组织发布 Jar 包,从而避免了被篡改的恶意安全风险。当 Jar 包被签名时,一个签名文件(XXX.SF)会自动在 META-INF 文件夹中生成,该文件夹中同时还含有 manifest 文件、公钥文件,manifest 文件中包含 Jar 包中每个文件的摘要信息,然而签名文件中则包含的是 manifest 文件中每个摘要项的摘要,当 Jar 签名被验证时首先对 Jar 中每个文件进行摘要计算,然后与 manifest 中已记录的摘要进行比较来判断文件是否更改过,同时还要计算 manifest 文件的摘要,并与签名文件比较,以验证 manifest 文件是否被修改过。
本文参考自 Jar 包相关题目细节知识点解析
