public final class SignedObject extends Object implements Serializable
SignedObject是一个类,用于创建可靠的运行时对象,其完整性不会受到威胁,而不会被检测到。
更具体地说,SignedObject包含另一个Serializable对象,即(待签名)对象及其签名。
签名对象是原始对象的“深层副本”(以序列化形式)。 一旦复制完成,对原始对象的进一步操纵对副本没有副作用。
底层签名算法由传递给构造函数的Signature对象和verify
方法verify
。 用于签名的典型用法如下:
Signature signingEngine = Signature.getInstance(algorithm, provider); SignedObject so = new SignedObject(myobject, signingKey, signingEngine);
验证的典型用法如下(已收到SignedObject so
):
Signature verificationEngine = Signature.getInstance(algorithm, provider); if (so.verify(publickey, verificationEngine)) try { Object myobj = so.getObject(); } catch (java.lang.ClassNotFoundException e) {};
值得注意的几点。 首先,不需要初始化签名或验证引擎,因为它将在构造函数和verify
方法中重新verify
。 其次,为了验证成功,指定的公钥必须是与用于生成SignedObject的私钥对应的公钥。
更重要的是,为了灵活性原因,构造函数和verify
方法允许定制的签名引擎,其可以实现未正式安装作为加密提供者的一部分的签名算法。 然而,编写验证码的程序员至关重要的是要知道正在使用Signature
引擎,因为它自己的verify
方法的实现被调用来验证签名。 换句话说,恶意Signature
可能会选择在验证时始终返回true,以试图绕过安全检查。
签名算法可以是NIST标准DSA,使用DSA和SHA-1。 该算法使用与签名相同的约定来指定。 使用SHA-1消息摘要算法的DSA算法可以被指定为例如“SHA / DSA”或“SHA-1 / DSA”(它们是等效的)。 在RSA的情况下,消息摘要算法有多种选择,因此签名算法可以被指定为例如“MD2 / RSA”,“MD5 / RSA”或“SHA-1 / RSA”。 必须指定算法名称,因为没有默认值。
Cryptography Package Provider的名称也由构造函数的Signature参数和verify
方法verify
。 如果未指定提供程序,则使用默认提供程序。 默认情况下,每个安装都可以配置为使用特定的提供者。
SignedObject的潜在应用包括:
Signature
, Serialized Form
Constructor and Description |
---|
SignedObject(Serializable object, PrivateKey signingKey, Signature signingEngine)
从任何可序列化对象构造一个SignedObject。
|
Modifier and Type | Method and Description |
---|---|
String |
getAlgorithm()
检索签名算法的名称。
|
Object |
getObject()
检索封装对象。
|
byte[] |
getSignature()
以一个字节数组的形式检索签名对象上的签名。
|
boolean |
verify(PublicKey verificationKey, Signature verificationEngine)
验证此SignedObject中的签名是使用指定的验证引擎使用给定的验证密钥存储在其中的对象的有效签名。
|
public SignedObject(Serializable object, PrivateKey signingKey, Signature signingEngine) throws IOException, InvalidKeyException, SignatureException
object
- 要签名的对象。
signingKey
- 用于签名的私钥。
signingEngine
- 签名签名引擎。
IOException
- 如果在序列化期间发生错误
InvalidKeyException
- 如果密钥无效。
SignatureException
- 如果签名失败。
public Object getObject() throws IOException, ClassNotFoundException
IOException
- 如果在反序列化期间发生错误
ClassNotFoundException
- 如果在反序列化期间发生错误
public byte[] getSignature()
public String getAlgorithm()
public boolean verify(PublicKey verificationKey, Signature verificationEngine) throws InvalidKeyException, SignatureException
verificationKey
- 验证公钥。
verificationEngine
- 签名验证引擎。
true
如果签名有效,
false
false
SignatureException
- 如果签名验证失败。
InvalidKeyException
- 验证键是否无效。