JAR 檔案揭密(轉）

大多數 Java 程式員都熟悉對 JAR 檔案的基本操作。但是隻有少數程式員了解 JAR 檔案格式的強大功能。在本文中，作者探讨了 JAR 格式的許多功能和優勢，包括打包、可執行的 JAR 檔案、安全性和索引。 JAR 檔案是什麼？ JAR 檔案格式以流行的 ZIP 檔案格式為基礎，用于将許多個檔案聚集為一個檔案。與 ZIP 檔案不同的是，JAR 檔案不僅用于壓縮和釋出，而且還用于部署和封裝庫、元件和插件程式，并可被像編譯器和 JVM 這樣的工具直接使用。在 JAR 中包含特殊的檔案，如 manifests 和部署描述符，用來訓示工具如何處理特定的 JAR。 一個 JAR 檔案可以用于： 用于釋出和使用類庫 作為應用程式和擴充的建構單元 作為元件、applet 或者插件程式的部署機關 用于打包與元件相關聯的輔助資源 JAR 檔案格式提供了許多優勢和功能，其中很多是傳統的壓縮格式如 ZIP 或者 TAR 所沒有提供的。它們包括： 安全性。 可以對 JAR 檔案内容加上數字化簽名。這樣，能夠識别簽名的工具就可以有選擇地為您授予軟體安全特權，這是其他檔案做不到的，它還可以檢測代碼是否被篡改過。 減少下載下傳時間。 如果一個 applet 捆綁到一個 JAR 檔案中，那麼浏覽器就可以在一個 HTTP 事務中下載下傳這個 applet 的類檔案和相關的資源，而不是對每一個檔案打開一個新連接配接。 壓縮。JAR 格式允許您壓縮檔案以提高存儲效率。 傳輸平台擴充。 Java 擴充架構(Java Extensions Framework)提供了向 Java 核心平台添加功能的方法，這些擴充是用 JAR 檔案打包的(Java 3D 和 JavaMail 就是由 Sun 開發的擴充例子)。 包密封。 存儲在 JAR 檔案中的包可以選擇進行密封，以增強版本一緻性和安全性。密封一個包意味着包中的所有類都必須在同一 JAR 檔案中找到。 包版本控制。 一個 JAR 檔案可以包含有關它所包含的檔案的資料，如廠商和版本資訊。 可移植性。 處理 JAR 檔案的機制是 Java 平台核心 API 的标準部分。 壓縮的和未壓縮的 JAR jar 工具(有關細節參閱 jar 工具)在預設情況下壓縮檔案。未壓縮的 JAR 檔案一般可以比壓縮過的 JAR 檔案更快地裝載，因為在裝載過程中要解壓縮檔案，但是未壓縮的檔案在網絡上的下載下傳時間可能更長。 META-INF 目錄 大多數 JAR 檔案包含一個 META-INF 目錄，它用于存儲包和擴充的配置資料，如安全性和版本資訊。Java 2 平台識别并解釋 META-INF 目錄中的下述檔案和目錄，以便配置應用程式、擴充和類裝載器： MANIFEST.MF。 這個 manifest 檔案定義了與擴充和包相關的資料。 INDEX.LIST。 這個檔案由 jar 工具的新選項 -i 生成，它包含在應用程式或者擴充中定義的包的位置資訊。它是 JarIndex 實作的一部分，并由類裝載器用于加速類裝載過程。 xxx.SF。 這是 JAR 檔案的簽名檔案。占位符 xxx 辨別了簽名者。 xxx.DSA。 與簽名檔案相關聯的簽名程式塊檔案，它存儲了用于簽名 JAR 檔案的公共簽名。 jar 工具 為了用 JAR 檔案執行基本的任務，要使用作為Java Development Kit 的一部分提供的 Java Archive Tool (jar 工具)。用 jar 指令調用 jar 工具。表 1 顯示了一些常見的應用： 表 1. 常見的 jar 工具用法 功能 指令 用一個單獨的檔案建立一個 JAR 檔案 jar cf jar-file input-file... 用一個目錄建立一個 JAR 檔案 jar cf jar-file dir-name 建立一個未壓縮的 JAR 檔案 jar cf0 jar-file dir-name 更新一個 JAR 檔案 jar uf jar-file input-file... 檢視一個 JAR 檔案的内容 jar tf jar-file 提取一個 JAR 檔案的内容 jar xf jar-file 從一個 JAR 檔案中提取特定的檔案 jar xf jar-file archived-file... 運作一個打包為可執行 JAR 檔案的應用程式 java -jar app.jar 可執行的 JAR 一個可執行的 jar 檔案是一個自包含的 Java 應用程式，它存儲在特别配置的JAR 檔案中，可以由 JVM 直接執行它而無需事先提取檔案或者設定類路徑。要運作存儲在非可執行的 JAR 中的應用程式，必須将它加入到您的類路徑中，并用名字調用應用程式的主類。但是使用可執行的 JAR 檔案，我們可以不用提取它或者知道主要入口點就可以運作一個應用程式。可執行 JAR 有助于友善釋出和執行 Java 應用程式。 建立可執行 JAR 建立一個可執行 JAR 很容易。首先将所有應用程式代碼放到一個目錄中。假設應用程式中的主類是 com.mycompany.myapp.Sample。您要建立一個包含應用程式代碼的 JAR 檔案并辨別出主類。為此，在某個位置(不是在應用程式目錄中)建立一個名為 manifest 的檔案，并在其中加入以下一行： Main-Class: com.mycompany.myapp.Sample 然後，像這樣建立 JAR 檔案： jar cmf manifest ExecutableJar.jar application-dir 所要做的就是這些了 -- 現在可以用 java -jar 執行這個 JAR 檔案 ExecutableJar.jar。 一個可執行的 JAR 必須通過 menifest 檔案的頭引用它所需要的所有其他從屬 JAR。如果使用了 -jar 選項，那麼環境變量 CLASSPATH 和在指令行中指定的所有類路徑都被 JVM 所忽略。 啟動可執行 JAR 既然我們已經将自己的應用程式打包到了一個名為 ExecutableJar.jar 的可執行 JAR 中了，那麼我們就可以用下面的指令直接從檔案啟動這個應用程式： java -jar ExecutableJar.jar 包密封 密封 JAR 檔案中的一個包意味着在這個包中定義的所有類都必須在同一個 JAR 檔案中找到。這使包的作者可以增強打包類之間的版本一緻性。密封還提供了防止代碼篡改的手段。 要密封包，需要在 JAR 的 manifest 檔案中為包添加一個 Name 頭，然後加上值為“true”的 Sealed 頭。與可執行的 JAR 一樣，可以在建立 JAR 時，通過指定一個具有适當頭元素的 manifest 檔案密封一個 JAR，如下所示： Name: com/samplePackage/ Sealed: true Name 頭辨別出包的相對路徑名。它以一個“/”結束以與檔案名差別。在 Name 頭後面第一個空行之前的所有頭都作用于在 Name 頭中指定的檔案或者包。在上述例子中，因為 Sealed 頭出現在 Name 頭後并且中間沒有空行，是以 Sealed 頭将被解釋為隻應用到包 com/samplePackage 上。 如果試圖從密封包所在的 JAR 檔案以外的其他地方裝載密封包中的一個類，那麼 JVM 将抛出一個 SecurityException。 擴充打包 擴充為 Java 平台增加了功能，在 JAR 檔案格式中已經加入了擴充機制。擴充機制使得 JAR 檔案可以通過 manifest 檔案中的 Class-Path 頭指定所需要的其他 JAR 檔案。 假設 extension1.jar 和 extension2.jar 是同一個目錄中的兩個 JAR 檔案，extension1.jar 的 manifest 檔案包含以下頭： Class-Path: extension2.jar 這個頭表明 extension2.jar 中的類是 extension1.jar 中的類的擴充類。extension1.jar 中的類可以調用 extension2.jar 中的類，并且不要求 extension2.jar 處在類路徑中。 在裝載使用擴充機制的 JAR 時，JVM 會高效而自動地将在Class-Path 頭中引用的 JAR 添加到類路徑中。不過，擴充 JAR 路徑被解釋為相對路徑，是以一般來說，擴充 JAR 必須存儲在引用它的 JAR 所在的同一目錄中。 例如，假設類 ExtensionClient 引用了類 ExtensionDemo,它捆綁在一個名為 ExtensionClient.jar 的 JAR 檔案中，而類 ExtensionDemo 則捆綁在 ExtensionDemo.jar 中。為了使 ExtensionDemo.jar 可以成為擴充，必須将 ExtensionDemo.jar 列在 ExtensionClient.jar 的 manifest 的 Class-Path 頭中，如下所示： Manifest-Version: 1.0 Class-Path: ExtensionDemo.jar 在這個 manifest 中 Class-Path 頭的值是沒有指定路徑的 ExtensionDemo.jar，表明 ExtensionDemo.jar 與 ExtensionClient JAR 檔案處在同一目錄中。 JAR 檔案中的安全性 JAR 檔案可以用 jarsigner 工具或者直接通過 java.security API 簽名。一個簽名的 JAR 檔案與原來的 JAR 檔案完全相同，隻是更新了它的 manifest，并在 META-INF 目錄中增加了兩個檔案，一個簽名檔案和一個簽名塊檔案。 JAR 檔案是用一個存儲在 Keystore 資料庫中的證書簽名的。存儲在 keystore 中的證書有密碼保護，必須向 jarsigner 工具提供這個密碼才能對 JAR 檔案簽名。 圖 1. Keystore 資料庫 JAR 的每一位簽名者都由在 JAR 檔案的 META-INF 目錄中的一個具有 .SF 擴充名的簽名檔案表示。這個檔案的格式類似于 manifest 檔案 -- 一組 RFC-822 頭。如下所示，它的組成包括一個主要部分，它包括了由簽名者提供的資訊、但是不特别針對任何特定的 JAR 檔案項，還有一系列的單獨的項，這些項也必須包含在 menifest 檔案中。在驗證一個簽名的 JAR 時，将簽名檔案的摘要值與對 JAR 檔案中的相應項計算的摘要值進行比較。 清單 1. 簽名 JAR 中的 Manifest 和 signature 檔案 Contents of signature file META-INF/MANIFEST.MF Manifest-Version: 1.0 Created-By: 1.3.0 (Sun Microsystems Inc.) Name: Sample.java SHA1-Digest: 3+DdYW8INICtyG8ZarHlFxX0W6g= Name: Sample.class SHA1-Digest: YJ5yQHBZBJ3SsTNcHJFqUkfWEmI= Contents of signature file META-INF/JAMES.SF Signature-Version: 1.0 SHA1-Digest-Manifest: HBstZOJBuuTJ6QMIdB90T8sjaOM= Created-By: 1.3.0 (Sun Microsystems Inc.) Name: Sample.java SHA1-Digest: qipMDrkurQcKwnyIlI3Jtrnia8Q= Name: Sample.class SHA1-Digest: pT2DYby8QXPcCzv2NwpLxd8p4G4= 數字簽名 一個數字簽名是.SF 簽名檔案的已簽名版本。數字簽名檔案是二進制檔案，并且與 .SF 檔案有相同的檔案名，但是擴充名不同。根據數字簽名的類型 -- RSA、DSA 或者 PGP -- 以及用于簽名 JAR 的證書類型而有不同的擴充名。 Keystore 要簽名一個 JAR 檔案，必須首先有一個私鑰。私鑰及其相關的公鑰證書存儲在名為 keystores 的、有密碼保護的資料庫中。JDK 包含建立和修改 keystores 的工具。keystore 中的每一個密鑰都可以用一個别名辨別，它通常是擁有這個密鑰的簽名者的名字。 所有 keystore 項(密鑰和信任的證書項)都是用唯一别名通路的。别名是在用 keytool -genkey 指令生成密鑰對(公鑰和私鑰)并在 keystore 中添加項時指定的。之後的 keytool 指令必須使用同樣的别名引用這一項。 例如，要用别名“james”生成一個新的公鑰/私鑰對并将公鑰包裝到自簽名的證書中，要使用下述指令： keytool -genkey -alias james -keypass jamespass -validity 80 -keystore jamesKeyStore -storepass jamesKeyStorePass 這個指令序列指定了一個初始密碼“jamespass”，後續的指令在通路 keystore “jamesKeyStore”中與别名“james”相關聯的私鑰時，就需要這個密碼。如果 keystore“jamesKeyStore”不存在，則 keytool 會自動建立它。 jarsigner 工具 jarsigner 工具使用 keystore 生成或者驗證 JAR 檔案的數字簽名。 假設像上述例子那樣建立了 keystore “jamesKeyStore”，并且它包含一個别名為“james”的密鑰，可以用下面的指令簽名一個 JAR 檔案： jarsigner -keystore jamesKeyStore -storepass jamesKeyStorePass -keypass jamespass -signedjar SSample.jar Sample.jar james 這個指令用密碼“jamesKeyStorePass”從名為“jamesKeyStore”的 keystore 中提出别名為“james”、密碼為“jamespass”的密鑰，并對 Sample.jar 檔案簽名、建立一個簽名的 JAR -- SSample.jar。 jarsigner 工具還可以驗證一個簽名的 JAR 檔案，這種操作比簽名 JAR 檔案要簡單得多，隻需執行以下指令： jarsigner -verify SSample.jar 如果簽名的 JAR 檔案沒有被篡改過，那麼 jarsigner 工具就會告訴您 JAR 通過驗證了。否則，它會抛出一個 SecurityException， 表明哪些檔案沒有通過驗證。 還可以用 java.util.jar 和 java.security API 以程式設計方式簽名 JAR(有關細節參閱參考資料)。也可以使用像 Netscape Object Signing Tool 這樣的工具。 JAR 索引 如果一個應用程式或者 applet 捆綁到多個 JAR 檔案中，那麼類裝載器就使用一個簡單的線性搜尋算法搜尋類路徑中的每一個元素，這使類裝載器可能要下載下傳并打開許多個 JAR 檔案，直到找到所要的類或者資源。如果類裝載器試圖尋找一個不存在的資源，那麼在應用程式或者 applet 中的所有 JAR 檔案都會下載下傳。對于大型的網絡應用程式和 applet，這會導緻啟動緩慢、響應遲緩并浪費帶寬。 從 JDK 1.3 以後，JAR 檔案格式開始支援索引以優化網絡應用程式中類的搜尋過程，特别是 applet。JarIndex 機制收集在 applet 或者應用程式中定義的所有 JAR 檔案的内容，并将這些資訊存儲到第一個 JAR 檔案中的索引檔案中。下載下傳了第一個 JAR 檔案後，applet 類裝載器将使用收集的内容資訊高效地裝載 JAR 檔案。這個目錄資訊存儲在根 JAR 檔案的 META-INF 目錄中的一個名為 INDEX.LIST 的簡單文本檔案中。 建立一個 JarIndex 可以通過在 jar 指令中指定 -i 選項建立一個 JarIndex。假設我們的目錄結構如下圖所示： 圖 2. JarIndex 您将使用下述指令為 JarIndex_Main.jar、JarIndex_test.jar 和 JarIndex_test1.jar 建立一個索引檔案： jar -i JarIndex_Main.jar JarIndex_test.jar SampleDir/JarIndex_test1.jar INDEX.LIST 檔案的格式很簡單，包含每個已索引的 JAR 檔案中包含的包或者類的名字，如清單 2 所示： 清單 2. JarIndex INDEX.LIST 檔案示例 JarIndex-Version: 1.0 JarIndex_Main.jar sp JarIndex_test.jar Sample SampleDir/JarIndex_test1.jar org org/apache org/apache/xerces org/apache/xerces/framework org/apache/xerces/framework/xml4j 結束語 JAR 格式遠遠超出了一種壓縮格式，它有許多可以改進效率、安全性群組織 Java 應用程式的功能。因為這些功能已經建立在核心平台 -- 包括編譯器和類裝載器 -- 中了，是以開發人員可以利用 JAR 檔案格式的能力簡化和改進開發和部署過程。.