【发布时间】:2019-05-29 19:19:14
【问题描述】:
我的客户有一台符合 JavaEE 的服务器。我向他发送了一些战争文件和相应的校验和以进行部署。现在我想防止操作员在部署之前操纵war文件。
是否有可能在服务器启动时沿校验和验证 war 文件?是否有可能获得当前部署的战争文件的校验和?例如,是否已经有这样的功能? JBoss EAP?
【问题讨论】:
-
您可能想尝试Signing and Verifying JAR Files 来完成此操作。您可以对 WAR 文件进行签名,就像它是 JAR 文件一样。
-
其中一种方式:
# sha1sum TestApp.war cb16a87d23644fb166000b4b739ef12257b77326 Test.war- 以上值应与内“data/content/cb”下的以下目录名称匹配: # ls -lart drwxrwxr-x. 2 tmp tmp 4096 Jan 8 03:38 16a87d23644fb166000b4b739ef12257b77326 -
寻找相同的功能,我看到redhat support access.redhat.com/solutions/4201991 的帖子告诉JBOSS EAP 7 只检查签名的Jar,但不检查签名的EAR 和WAR。已完成增强请求,但仍在进行中。
标签: security jakarta-ee jboss