已签名小程序的问题
Issues with signed applet
我正在开发一个仅在客户端执行加密/解密的应用程序。我正在使用Spring,jdk 1.6+和eclipse。我开发了一个包含加密代码的小程序,如下所示:
public void accessToken(){
try{
File tmpConfigFile = File.createTempFile("pkcs11", "conf");
tmpConfigFile.deleteOnExit();
PrintWriter configWriter = new PrintWriter(new FileOutputStream(tmpConfigFile), true);
configWriter.println("name=eToken");
configWriter.println("library=" + "C:''WINDOWS''system32''eTPKCS11.dll");
configWriter.println("slotListIndex=0");
configWriter.println("showInfo=true");
this.pkcs11Provider = new SunPKCS11(tmpConfigFile.getAbsolutePath());
Security.addProvider(this.pkcs11Provider);
CallbackHandler cbh = new DialogCallbackHandler();
KeyStore.Builder ksBuilder = KeyStore.Builder.newInstance("PKCS11", null, new KeyStore.CallbackHandlerProtection(cbh));
KeyStore ks = ksBuilder.getKeyStore();
ks.load(null, null);
}catch(Exception e){
e.printStackTrace();
}
}
我已经创建了jar文件并对其进行了签名,当我从eclipse在本地机器上以"在Java Applet上运行"运行时,它运行良好,当我打开包含此小程序的html页面时,它运行良好,并在页面加载时提示输入密码,但是当我单击调用此accessToken((小程序方法的复选框时,它会在java控制台上给出错误,例如:
java.lang.SecurityException: Unable to create temporary file
at java.io.File.checkAndCreate(Unknown Source)
at java.io.File.createTempFile(Unknown Source)
at java.io.File.createTempFile(Unknown Source)
at message.MessageApplet.accessToken(MessageApplet.java:49)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSInvoke.invoke(Unknown Source)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSClassLoader.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass$MethodInfo.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass$MemberBundle.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass.invoke0(Unknown Source)
at sun.plugin2.liveconnect.JavaClass.invoke(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$DefaultInvocationDelegate.invoke(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$3.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo.doObjectOp(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$LiveConnectWorker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
我的 HTML 页面看起来像:
<SCRIPT LANGUAGE="JavaScript">
function selectedCity()
{
var elem = document.getElementById('cityRb');
if(elem.checked)
{
document.messageApplet.accessToken();
}
}
</SCRIPT></HEAD>
<BODY >
<b>This is the Applet</b>
<script src="http://www.java.com/js/deployJava.js"></script>
<script>
<!-- applet id can be used to get a reference to the applet object -->
var attributes = { id:'messageApplet', code:'message.MessageApplet', width:1, height:1} ;
var parameters = {jnlp_href: 'message-applet.jnlp'} ;
deployJava.runApplet(attributes, parameters, '1.6');
</script>
<FORM NAME="CityChoice">
<input type="radio" id="cityRb" name="City" value="Boston" onClick="selectedCity()"> Boston<br>
</form>
</BODY >
我的 JNLP 文件看起来像:
<jnlp spec="1.0+" codebase="" href="">
<information>
<title>Message Applet</title>
<vendor>Fountainhead</vendor>
<offline-allowed/>
</information>
<update check="background"/>
<security>
<all-permissions/>
</security>
<resources>
<!-- Application Resources -->
<j2se version="1.6+"
href="http://java.sun.com/products/autodl/j2se"/>
<jar href="message.jar" main="true" />
</resources>
<applet-desc
name="Message Applet"
main-class="message.MessageApplet"
width="300"
height="300">
</applet-desc>
<update check="background"/>
</jnlp>
所有文件和 jar 都在同一个目录中,我的小程序类在消息文件夹中请帮助我,我被困在这里...
发生这种情况是因为您正在从javascript调用小程序的方法。实际上,当您从javascript调用任何已签名的小程序的方法时,它的行为是无符号的,因为两者都有自己的安全沙盒,并且您必须在该特定的沙箱中执行。现在,我对代码进行了如下更改。
final File myFile = (File) AccessController.doPrivileged(new PrivilegedAction() {
public Object run(){
String fileName = System.getProperty("user.home") +
System.getProperty("file.separator") +
"pkcs11.conf";
return new File(fileName);
}});
此访问控制器允许您在客户端计算机上创建文件。我的英语不好,因此如果有任何错误,那么对不起。
如果你从(无符号的(javascript调用一个有符号的小程序内的函数,你会立即破坏签名。这意味着小程序会立即失去所有权限,并且无法在磁盘上写入任何内容......
看看这个,页面底部:http://docs.oracle.com/javase/tutorial/deployment/applet/security.html
注意:JavaScript 代码被视为未签名代码。当签名时 小程序是从 HTML 页面中的 JavaScript 代码访问的,小程序是 在安全沙箱中执行。这意味着已签名的 小程序本质上的行为类似于未签名的小程序。
所以你可能必须在 init(( 之后立即启动你的函数,然后,在 liveconnect 上,从小程序回调页面上的 js 函数,通知"操作完成"......
您还需要策略文件,以允许已签名的小程序创建临时文件。
请在代码中添加行号,以便人们可以关联堆栈跟踪。
我认为你编码File.createTempFile("pkcs11", "conf");扔SecurityException.请参阅从堆栈跟踪中获取的此message.MessageApplet.accessToken(MessageApplet.java:49)。
您始终可以通过 Javascript 将数据提供给小程序,以将它们存储在 FIFO(先进先出(对象中,并使用小程序上的计时器来检查 FIFO 并处理请求。但我想返回失败/成功代码值并不容易......
相关文章:
- Canvas Html5绘图应用程序,移动画布会导致重大问题
- 三星智能电视应用程序;Brightcove示例应用程序远程控制问题
- 在我的SPA应用程序中集成Facebook共享的问题
- 在AJAX回调和呈现PIXIJS之间处理程序流时遇到了问题
- 在循环中附加事件处理程序时出现浏览器性能问题
- node.js应用程序中的async.js问题
- React Rails应用程序中动态子项的密钥分配问题
- jQuery,引导程序下拉列表问题
- 引导程序导航栏崩溃问题
- jQuery使用.of()删除事件处理程序时出现的问题
- Selebyun爬网程序超时问题C#
- Angular 1.X,webpack和ngtemplate加载程序问题
- 在我的Rails应用程序中使用Stripe对卡充电时出现问题
- 离子框架移动应用程序性能问题
- 如何将 camanjs 用于我的 wix 应用程序绕过跨域问题
- 聊天应用程序的潜在问题
- Ruby on Rails 4:在 Rails Web 应用程序中添加 Javascript 文件时遇到问题
- MongoDB 2.0.0 驱动程序,按 ID 检索记录时出现问题
- 在 Chrome 扩展程序中将鼠标悬停在广告上使用时遇到问题
- 在Facebook应用程序中弹出时遇到问题
