对Java Applet和Java Web Start进行数字签名
我们知道Java Applet和Java Web Start程序在运行的时候受到安全限制例如不能够访问本地文件系统不能够随意访问网络本文将演示如何对代码做数字签名让客户在运行时选择是否信任你的签名以使你的程序具有更多的权限在这里我们不打算购买证书
我的计算机环境如下
Windows professional sp
SUN JDK
IE
JAVA_HOMEPATHCLASSPATH等环境变量均已设置
客户端需求
客户端浏览器需要安装Java插件这里的Java插件是安装JDK时一起安装的如果客户端不需要做Java开发可以去下载SUN的网站下载JRE到客户端安装
接下来看看下面这个Applet它只有一个按钮点击这个按钮程序就在本地建立一个文件如果成功弹出一个对话框显示成功消息如果发生异常(安全异常或者IO异常)也弹出一个显示错误的对话框源文件如下
源文件test\TestAppletjava
package test;
import javaapplet*;
import javaio*;
import javaawtevent*;
import javaxswing*;
public class TestApplet
extends Applet {
public void init() {
JButton button = new JButton(Create a file);
buttonaddActionListener(new ActionListener(){
public void actionPerformed(ActionEvent evt){
File file = new File(c:\\atxt);
try {
filecreateNewFile();
JOptionPaneshowMessageDialog(null成功创建文件c:\\atxt
消息JOptionPaneINFORMATION_MESSAGE );
}catch (Exception ex) {
JOptionPaneshowMessageDialog(
nullexgetMessage()错误JOptionPaneERROR_MESSAGE);
}
}
});
add(button);
}
}
在与test目录的父目录编译这个Applet
javac test\TestAppletjava
打包生成testjar文件
jar cvf testjar test
以下是使用Applet的HTML页面l
testApplet will appear below in a Java enabled browser
codebase =
code = testTestAppletclass
name = TestApplet
archive = testjar
width =
height =
hspace =
vspace =
align = middle
>
现在就让我们运行一下打开l点击按钮你看到了什么?非常不幸我们没有经过数字签名的Applet在默认情况下没有写本地文件的权限那么让我们准备签名代码吧
首先用keytool命令产生用来签名的key下面这个命令产生一个叫mykey的key它存储在我们新建的叫mystore的keystore中
keytool genkey alias mykey keystore mystore
接下来它会问一些问题包括keystore的密码key的密码等如下所示
输入keystore密码 storepass
您的名字与姓氏是什么?
[Unknown] AYellow
您的组织单位名称是什么?
[Unknown] 我的组织单位
您的组织名称是什么?
[Unknown] 我的组织
您所在的城市或区域名称是什么?
[Unknown] 北京
您所在的州或省份名称是什么?
[Unknown] 北京
该单位的两字母国家代码是什么
[Unknown] CN
CN=AYellow OU=我的组织单位 O=我的组织 L=北京 ST=北京 C=CN 正确吗?
[否] Y
输入的主密码
(如果和 keystore 密码相同按回车) keypass
完成后会在当前目录下生成一个叫mystore的文件这个文件包含了我们的key用jarsigner命令签名我们的代码testjar(需要输入keystore和key的密码)
jarsigner keystore mystore testjar mykey
Enter Passphrase for keystore: storepass
Enter key password for mykey: keypass
再次运行Applet在Applet加载的时候会出现一个对话框说该Applet由不可信任的发行者签名并宣称代码是安全的是不是要对Applet授权选择授权于会话然后点击我们的按钮看看是不是成功的创建了文件?
对于Java Web Start程序签名jar文件的过程是一样的但是需要在jnlp文件中做一些修改例如在jnlp根元素下加上一下部分
运行程序在第一次启动的时候出现以下对话框
选择启动以后启动时这个对话框再也不会出现因为Java Web Start启动后相当于一个安装在本地的程序既然第一次客户选择了信任以后这个对话框就再没有必要出现了当然对于上面的Applet例子我们也可以选择总是授权
与大家讨论仔细查看一下我们可以发现Applet和Java Web Start出的对话框的措辞是不一样的而且很显然前者措辞不当在这种情况下客户很可能对不可信任的程序授权造成安全上的隐患如果前面我们创建keystore的时候在我的组织中填上Microsoft又会怎么样?对于一个不可信任的程序前者默认的按钮居然是授权而后者是退出Applet的安全为什么会是这样?
